Mon PC est-il infecté ?

Fermé
pasrep - 7 oct. 2007 à 13:30
 pasrep - 7 oct. 2007 à 22:48
Bonjour,

Je poste ici car je n'ai eu aucune réponse dans le forum Matériel et je cherche à savoir ce qui se passe sur mon PC. Donc, voilà une copie de mon post :

J'utilise en portable Packard Bell easynote E6315 que j'ai acheté neuf il y a un peu plus de 2 ans. Au printemps dernier, j'ai changé le DD d'origine (40 GO) par un 160 GO et j'ai upgradé la RAM à 1024 MO.

Depuis quelques temps, mon PC chauffe énormément (au niveau de l'emplacement de la RAM) à tel point que je ne peux y reposer ma main et qu'il est impossible d'utiliser certains logiciels (scan online BitDefender, scan Avast!, HitManPro, petit jeu tel que BudRedHead ...) sans qu'il ne plante au bout d'une quinzine de minutes en affichant un écran tout zébré.

Une fois que le ventilo s'est mis en marche, il ne s'arrête plus et tourne au max de sa vitesse.

Pourtant les taux moyens d'occupation du CPU et de la RAM ne me paraissent pas excessif (respectivement 80 % et 40 % selon les logiciels lancés).

J'ai nettoyé la poussière du ventilo et de la grille d'aération et j'ai procédé à divers tests en échangeant mes barrettes mémoires de slot, en n'en utilisant qu'une en alternant le slot ... Pas de changement.

La seule solution pour faire fonctionner certains logiciels est de prendre en sandwich la partie de mon micro occupé par la RAM et le CPU avec 2 glaçons plastiques congelés protégés dans des sacs plastiques pour éviter tout risque lié à l'humidité !!!

J'ai noté aussi qu'un grand nombre de processus sont actifs en même temps et notamment svchost (qui peut être présent 5 à 6 fois).

J'ai identifié tous les processus en cours sans en découvrir un susceptible d'être un malware.

Je suis sous WinXp Home Edition, SPack2 à jour (y compris le module de recherche des logiciels malveillants).

Je suis connecté à Internet en ADSL (chez FREE), donc derrière une box et en plus derrière un routeur (pour gérer mon petit réseau de 2 PC).

J'ai passé divers outils de maintenance tels que JV16, Ccleaner, EasyCleaner, ... ainsi que des soft de sécurité tels que SmitFraudFix, SdFix, AVG Anti-spyware, Avast!, HitmanPro, Ad-Aware, Spybot S&D, mrt, ... toujours sans résultat.

J'ai vérifié les logiciels qui se lancent au démarrage (avec CodeStuff Starter ou dans msconfig, Ccleaner, EasyCleaner) : rien de suspect.

Je ne sais que penser ni quoi faire d'autre pour résoudre ce problème :

- est-ce un problème matériel (un composant défectueux : RAM ou autre) et comment l'identifier (manifestement toute la RAM est parfaitement reconnue et Everest ne me signale aucun élément défectueux) ?

- est-ce un malware que je n'arrive pas à détecter ni à éradiquer et qui utilise à mon insu ma RAM ?

Je colle ici un rapport HijackThis, un rapport SmitFraud ainsi que la liste des process en cours selon le gestionnaire des tâches.

Merci pour votre aide et conseils.


Rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:19, on 2007-10-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Volkey\Volkey.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Softwin\BitDefender Free Edition\bdnagent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.5.19.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VOLKEY] "C:\Program Files\Volkey\Volkey.exe"
O4 - HKLM\..\Run: [SynTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Utilisation CPU.lnk = C:\WINDOWS\system32\taskmgr.exe
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/default.aspx
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: MySqlInventime - Unknown owner - (no file)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
End of file - 7707 bytes


Rapport SmitFraud :

SmitFraudFix v2.233

Rapport fait à 11:29:03.68, 2007-10-07
Executé à partir de D:\Programmes\S‚curit‚ informatique\SmitFraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Volkey\Volkey.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pascal


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pascal\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Pascal\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA Rhine II Fast Ethernet Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.53.252
DNS Server Search Order: 212.27.54.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7D800C74-26F3-46DB-BF98-17A0AC28E8C4}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7D800C74-26F3-46DB-BF98-17A0AC28E8C4}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7D800C74-26F3-46DB-BF98-17A0AC28E8C4}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Liste des process en cours (ordre alphabétique)

alg.exe
ashDisp.exe
ashMaiSv.exe
ashServ.exe
ashWebSv.exe
aswUpd.exe
bdnagent.exe
bdss.exe
csrss.exe
ctfmon.exe
DKService.exe
explorer.exe
jusched.exe
lsass.exe
Processus inactif du système
services.exe
slserv.exe
smss.exe
spoolsv.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
SynTPEnh.exe
System
taskmgr.exe
Volkey.exe
VTTimer.exe
winlogon.exe
xcommsvr.exe

Configuration: Windows XP
Firefox 2.0.0.7
A voir également:

5 réponses

Kevindu36 Messages postés 649 Date d'inscription lundi 27 août 2007 Statut Membre Dernière intervention 11 août 2008 6
7 oct. 2007 à 13:51
bonjour

Fait un scan avec Bitdefender Online
https://www.bitdefender.com/toolbox/
Désactive ton antivirus pendant le scan
Puis poste le rapport génerré

++
0
Ok,

Mais 1ère tentative = échec. Plantage comme d'hab après 15 minutes de scan et d'utilisation de l'UC à 100 % (malgré refroidissement maison).

Le peu que j'ai pu voir de BitDefender faisait état de virus ou trojan dans des fichiers thunderbird.

Je ne comprends pas que ces malwares n'aient pas été détectés par Avast!.

Je recommence une tentative de scan online et je te tiens au courant, mais plus tard, je dois sortir maintenant.

Merci et à tout à l'heure.
0
Kevindu36 Messages postés 649 Date d'inscription lundi 27 août 2007 Statut Membre Dernière intervention 11 août 2008 6
7 oct. 2007 à 15:14
ok

++
0
Bon, impossible d'aller jusqu'à un rapport BitDefender. Au bout d'une seconde tentative d'analyse, avec pause toutes les 10 minutes pour laisser refroidir le CPU, et alors que la console BitDefender venait juste de terminer son compte à rebours (d'environ 70 minutes), elle est repartie en annonçant une durée d'analyse de plus de 18 heures. Du coup j'ai tout arrêté.

Par contre BitDefender m'annonce que "des virus ont été trouvés mais ont été retirés". Dans la liste déroulante en dessous il fait état de plusieurs centaines de fichiers sous la forme suivante par groupes de 4 lignes :

Infecté par ...
Echec de la désinfection
Supprimé
Mis à jour

Ces indications sont précédées d'un chemin qui est le suivant :
"C:\Documents and Settings\nom de l'utilisateur\Application Data\Thunderbird\Profiles\mmrgkl9o.default\Mail\local folders\Inbox=>[message ...]" les ... étant un numéro.


Les 23 premiers groupes de 4 lignes font état d'une infection par "Generic.Trojan.Phish." suivi d'une suite alphanumérique de type : 4B706B06" ou "F9746A38".

Les autres font référence à "Generic.Peed.Eml" suivi d'une suite alphanumérique.

Que cela signifie-t-il ?
Dois-je désinstaller Thunderbird ou effacer seulement le dossier mmrgkl9o qui semble-être une archive ?
Et comment se fait-il qu'aucun autre outil ou antivirus comme Avast! n'aie détecté cette infection ?

PS : Je ne tiens pas à formater C: car mon systéme de restauration du windows fournit par Packard Bell me remettrait intégralement mon DD à zéro en me virant toutes mes partitions alors que j'ai eu un mal fou à installer une distribution Linux.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Face à l'impossibilité de scanner le fichier Inbox sur mon PC, j'ai recopié tout le répertoire "Thunderbird" sur un autre et je l'ai scanné avec BitDefender en ligne.

Et là, même problème, BitDefender détectait bien les mêmes malwares mais impossible pour lui de les éradiquer et il annonçait aussi un temps record de plus de 89 heures !

Au grands maux les grands moyens, j'ai donc purement et simplement supprimé le fichier "Inbox" qui manifestement correspond, logiquement, à la boîte de réception.

Il s'est recréé tout seul lors de l'utilisation de Thunderbird.

Je n'ai pas l'impression que cela ait résolu mon problème de chauffe et de ventilation, mais au moins, je n'ai plus ces saletés sur mon micro.

Maintenant, j'attends toujours une aide pour comprendre ce qui se passe.

Merci.
0