UC à 100% et Redémarrage intempestif

kisskool -  
 kisskool -
Bonjour,

Voilà depuis deux jours je rencontre deux problèmes : mon UC est constement (ou presque) à 100% et mon ordinateur redémarre très très souvent (et c'est horrible comme ca rame !).

Et quand je dis très souvent c'est vraiment très souvent : par exemple rien que pour l'allumer il a redémarré trois fois...Toujours quand l'UC est à 100%, mais pas dès que c'est à 100%, ca varie. Il se peut qu'il ne redémarre qu'au bout de quelque temps, pas directement quand l'UC passe à 100%.

Bon je vous met dans le contexte du comment : il y a deux jours, je jouais tranquillement à un petit jeu, quand tout à coups, paf, mon ordinateur redémarre. Depuis, c'est la misère.

J'ai consulté un bon paquet de forum sur l'UC à 100% et les redémarrages intempestifs, et j'ai trouvé diverses réponses qui reviennent souvent :
-Process trop chaud
-Virus SASSER
-Pare feu windows qui pompe l'UC
-Controle à distance de l'ordi
-Fichier .avi qui fout son bordel

Pour ma part, ca m'a pas du tout aidé :
-Température de mon ordi pas très haute
-Test avec Fx-Sasser : pas de virus sasser trouvé
-Pare feu désactivé
-Controle à distance désactivé
-Et pour fichier .avi je ne sais pas mais j'en doute, ca ne peut pas venir comme ca du jour au lendemin

Donc je suis dans l'impasse...J'ai 45 processus actifs, et mon antivirus (F-secure) me prend 76 000 Ko environ, par rapport aux 54 000 Ko de firefox ou 34 000 Ko d'explorer.

Je me suis dit que c'est peut etre mon antivirus qui dysfonctionne et que ca me pompe l'UC, mais meme en l'arretant, l'UC est à 100% et mon ordi finit toujours pas redémarrer.

Si vous avez besoin de plus d'informations (concernant mon ordinateur ou autre) demandez le moi.
Et si vous trouvez une solution à mon problème (qui marche !), des chocolats de Noel pour tout le monde ! ^^

Ah une petite précision : j'aimerais vraiment ne pas devoir formater.

Voilà, en espérant trouver une solution, je vous souhaite une bonne journée.

Kisskool, complètement laché par une machine.
Configuration: Windows XP
Firefox 2.0.0.18

35 réponses

  • 1
  • 2
Résumé de la discussion

Le problème central est une utilisation CPU à 100% et des redémarrages répétés, survenant surtout après l’apparition du 100%, avec des hypothèses allant de la surchauffe à une infection Sasser. Des réponses privilégient le nettoyage des aérations et du ventilateur pour réduire la température, puis des actions système comme sfc /scannow et le réglage du registre via fix.reg. D'autres interventions portent sur une analyse approfondie des malwares avec ComboFix et des scans anti‑rootkit via GMER, ainsi que l’évaluation de l’effet des antivirus lourds sur l’utilisation CPU. En complément, certains recommandent le mode sans échec pour les tests et la sauvegarde des rapports, afin de faciliter les diagnostics sans conclure prématurément.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Salut, dans les reponses que tu as trouvé, je vois que tu n'as pas celle du nettoyage ( aeration, ventilo) ! peut-etre la solution à ton problème...
    0
  2. kisskool
     
    Effectivement ! Il faut que je voie ca, mais je n'ai pas l'impression que le ventilo soit plein de poussière ou que les aérations soient bouchés (ca ne peut faire que du bien de nettoyer, remarque).

    J'ai regardé avec Everest, au bout d'une heure (miracle que mon ordi ai pas redémarré !), le process est à 55 degrés et la carte mère à 35 degré. J'ai bien peur de ne pas m'y connaitre, mais il me semble que ce n'est pas alarmant.

    Enfin je vais nettoyer tout ca, ca ne coute rien d'essayer.

    Merci pour ta réponse !
    0
    1. kisskool
       
      Bon eh bien non ce n'est pas un problème de ventilation ou d'aération.

      Je commence à trouver l'idée du formatage alléchante...:X

      Si quelqu'un aurait une autre idée je suis preneur !
      0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    quel est le processus qui te "bouffe" l'UC ?

    ================

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt
    0
  4. kisskool
     
    Ok c'est fait !

    Alors une précision, je suis en mode sans echec, sans cela, c'est presque mission impossible pour naviguer sans que ca redémarre. (dans ce mode l'UC n'est qu'à 39% maximum)

    Deuxième précision, j'ai déjà fait un scan hijack et supprimé les lignes "pas bonnes" grace à la liste Pac-Man.

    Voilà la copie du contenu de log :

    Logfile of random's system information tool 1.04 (written by random/random)
    Run by Administrateur at 2008-11-25 15:29:32
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 6 GB (15%) free of 38 GB
    Total RAM: 1527 MB (81% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:29:44, on 25/11/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Safe mode with network support

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\savedump.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
    C:\Program Files\trend micro\Administrateur.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: WiFi Station pour Livebox.lnk = ?
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C143C1B5-6755-49CB-8890-8FD9AA940CAC}: NameServer = 212.27.32.176,212.27.32.177
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
    O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program Files\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
    O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
    O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
    O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    utilise Internet Explorer pour ce téléchargement;

    supprime (si il existe Combofix.exe sur ton Bureau ainsi que le répertoire Qoobox à la racine du disque, en général C:\Qoobox).

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le Bureau sous le nom de tructs . Enregistre le au moment de l'ouverture de la fenêtre, pas après qu'il soit sur le Bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe (renommé en tructs.exe) et suis les instructions

    en particulier, tu installes la Console de récupération.

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
  7. kisskool
     
    Re !

    Voilà, j'ai suivis ta démarche, et voici le rapport :

    ComboFix 08-11-24.03 - Administrateur 2008-11-25 18:23:26.1 - NTFSx86 NETWORK
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1292 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\tructs.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\iexp_log.txt

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-25 au 2008-11-25 ))))))))))))))))))))))))))))))))))))
    .

    2008-11-25 15:29 . 2008-11-25 15:29 <REP> d-------- C:\rsit
    2008-11-25 15:29 . 2008-11-25 15:29 <REP> d-------- c:\program files\trend micro
    2008-11-24 16:27 . 2008-11-24 16:27 <REP> d-------- c:\program files\Lavalys
    2008-11-23 16:18 . 2008-11-23 16:19 <REP> d-------- c:\windows\BDOSCAN8
    2008-11-23 00:11 . 2007-10-04 17:29 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
    2008-11-23 00:11 . 2007-10-04 17:29 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
    2008-11-23 00:11 . 2007-10-08 09:10 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
    2008-11-23 00:11 . 2007-10-04 17:29 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
    2008-11-23 00:11 . 2007-10-04 17:29 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
    2008-11-23 00:11 . 2008-11-25 15:50 <REP> d-------- c:\documents and settings\Administrateur\Favoris
    2008-11-23 00:11 . 2008-11-25 15:52 <REP> d-------- c:\documents and settings\Administrateur\Bureau
    2008-11-23 00:11 . 2008-11-23 00:11 <REP> d-------- c:\documents and settings\Administrateur
    2008-11-22 22:57 . 2008-11-22 22:56 410,976 --a------ c:\windows\system32\deploytk.dll
    2008-11-22 17:02 . 2008-11-24 20:08 <REP> d-------- c:\program files\Dofus
    2008-11-10 23:19 . 2008-11-10 23:19 <REP> d-------- c:\program files\VideoLAN
    2008-11-10 23:04 . 2008-11-10 23:05 <REP> d-------- c:\program files\LimeWire

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-11-24 13:54 90,112 ----a-w c:\windows\DUMP6c75.tmp
    2008-11-22 21:56 --------- d-----w c:\program files\Java
    2008-11-22 21:00 --------- d-----w c:\program files\DivX
    2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
    2008-10-16 21:07 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
    2008-10-06 23:42 --------- d-----w c:\program files\Fichiers communs\Adobe
    2008-10-06 23:31 --------- d-----w c:\documents and settings\All Users\Application Data\Adobe Systems
    2008-10-06 22:53 --------- d-----w c:\program files\Fichiers communs\Adobe Systems Shared
    2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
    2008-09-19 21:55 200,704 ----a-w c:\windows\system32\ssldivx.dll
    2008-09-19 21:55 1,044,480 ----a-w c:\windows\system32\libdivx.dll
    2008-09-15 15:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
    2008-09-04 16:45 1,106,944 ----a-w c:\windows\system32\msxml3.dll
    2008-08-29 19:06 1,350,664 ----a-w c:\windows\system32\msxml6.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2002-05-28 69632]
    "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
    "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
    "F-Secure Manager"="c:\program files\F-Secure\Common\FSM32.EXE" [2002-12-05 106571]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-22 136600]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-07-07 185896]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
    WiFi Station pour Livebox.lnk - c:\program files\Hercules\WiFi Station pour Livebox\WifiStationLB.exe [2007-10-14 721408]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "NoSimpleStartMenu"= 0 (0x0)
    "NoRecentDocsNetHood"= 1 (0x1)
    "NoSMHelp"= 1 (0x1)
    "NoFavoritesMenu"= 0 (0x0)
    "NoSMMyPictures"= 0 (0x0)
    "NoStartMenuMyMusic"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.l3acm"= l3codecp.acm

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\MSN Messenger\\livecall.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\WINDOWS\\system32\\java.exe"=
    "c:\\Program Files\\DNA\\btdna.exe"=
    "c:\\WINDOWS\\system32\\sessmgr.exe"=
    "c:\\Program Files\\LimeWire\\LimeWire.exe"=

    S2 BackWeb Client - 7681197;F-Secure BackWeb;c:\progra~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE [2007-10-10 16384]
    S2 F-Secure Filter;F-Secure File System Filter;\??\c:\program files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2007-10-10 48720]
    S2 F-Secure Gatekeeper;F-Secure Gatekeeper;\??\c:\program files\F-Secure\Anti-Virus\Win2K\FSgk.sys [2007-10-10 42672]
    S2 F-Secure Recognizer;F-Secure File System Recognizer;\??\c:\program files\F-Secure\Anti-Virus\Win2K\FSrec.sys [2007-10-10 16048]
    S2 FSpm;F-Secure Policy Manager;\??\c:\program files\F-Secure\Common\FSPM.SYS [2007-10-10 65328]

    *Newly Created Service* - PROCEXP90
    .
    .
    ------- Examen supplémentaire -------
    .
    FireFox -: Profile - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\8gzz2oz2.default\
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-11-25 18:24:51
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2008-11-25 18:25:58
    ComboFix-quarantined-files.txt 2008-11-25 17:25:41

    Avant-CF: 6 039 134 208 octets libres
    Après-CF: 6,044,291,072 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    113 --- E O F --- 2008-11-12 15:28:02
    0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    essaye de faire ceci en mode normal (sinon, tu le fais en mode sans échec avec prise en charge réseau).

    Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
    et télécharge SmitfraudFix.exe.

    Regarde le tuto
    Exécute le en choisissant l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.
    0
  9. kisskool
     
    Voilà voilà c'est fait, mais en mode sans échec avec prise en charge du réseau (si je me met en normal, ca redémarre presque directement :x).

    SmitFraudFix v2.378

    Rapport fait à 20:01:08,34, 25/11/2008
    Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Hercules Wireless G USB - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 86.64.145.144
    DNS Server Search Order: 84.103.237.144

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{828837DC-D201-44EF-B359-A23BD806920D}: DhcpNameServer=86.64.145.144 84.103.237.144
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{C143C1B5-6755-49CB-8890-8FD9AA940CAC}: NameServer=212.27.32.176,212.27.32.177
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{828837DC-D201-44EF-B359-A23BD806920D}: DhcpNameServer=86.64.145.144 84.103.237.144
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{C143C1B5-6755-49CB-8890-8FD9AA940CAC}: NameServer=212.27.32.176,212.27.32.177
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{828837DC-D201-44EF-B359-A23BD806920D}: DhcpNameServer=86.64.145.144 84.103.237.144
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{C143C1B5-6755-49CB-8890-8FD9AA940CAC}: NameServer=212.27.32.176,212.27.32.177
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.144 84.103.237.144
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.144 84.103.237.144
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.144 84.103.237.144

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

    ================================
    0
  11. kisskool
     
    Voici le rapport du nettoyage (option 2) :

    SmitFraudFix v2.378

    Rapport fait à 22:30:52,28, 25/11/2008
    Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Hercules Wireless G USB - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 86.64.145.144
    DNS Server Search Order: 84.103.237.144

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{828837DC-D201-44EF-B359-A23BD806920D}: DhcpNameServer=86.64.145.144 84.103.237.144
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{C143C1B5-6755-49CB-8890-8FD9AA940CAC}: NameServer=212.27.32.176,212.27.32.177
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{828837DC-D201-44EF-B359-A23BD806920D}: DhcpNameServer=86.64.145.144 84.103.237.144
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{C143C1B5-6755-49CB-8890-8FD9AA940CAC}: NameServer=212.27.32.176,212.27.32.177
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{828837DC-D201-44EF-B359-A23BD806920D}: DhcpNameServer=86.64.145.144 84.103.237.144
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{C143C1B5-6755-49CB-8890-8FD9AA940CAC}: NameServer=212.27.32.176,212.27.32.177
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.144 84.103.237.144
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.144 84.103.237.144
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.144 84.103.237.144

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Je redémarre en mode normal.
    0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    il a redémarré ?
    0
    1. kisskool
       
      Oui il a redémarré, et j'ai eu plusieurs messages comme quoi windows a récupéré d'erreurs sérieuses.

      Mais le problème persiste. Une seule amélioration : l'UC n'est plus à 100% en continue, c'est à 100% par période.
      0
      1. kisskool > kisskool
         
        Faut-il que je formate ? Je n'en ai pas très envie mais si ca peut sauver mon ordi....
        0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    on n'en est pas encore là.

    Lis bien et exécute cette manip dans l’ordre.

    #Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
    mets les à jour, comme indiqué dans les démos ou tutos.

    Ne les utilise pas tout de suite.

    Antispywares et autres :

    Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

    https://www.malwarebytes.com/

    A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

    Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

    Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

    MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.

    Nettoyeurs (de fichiers inutiles) et autres :

    *Ccleaner (gratuit)
    Téléchargement :
    https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
    Tuto :
    https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

    Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

    ========================================
    ->Affiche tous les fichiers et dossiers :
    clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

    [Coche] « afficher les dossiers et fichiers cachés »

    [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

    [Décoche] « masquer les extensions dont le type est connu »

    Puis fais [appliquer] pour valider les changements.

    Et [Ok]
    .

    =======================================

    ->Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
    puis tape « entrée ».
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).

    ========================================
    ->Lance CCleaner.

    Suppression des fichiers temporaires

    Va dans la section "Options" situé dans la marge gauche.
    Décoche "Avancé"
    Retourne ensuite dans la section "Nettoyeur"
    Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
    • Clique sur [Analyse]
    • Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
    • Une fois le scan terminé, clique sur [Lancer le Nettoyage]

    ========================================
    Lance Malwarebytes AntiMalware

    Dans l'onglet analyse, vérifie que "Exécuter un scan rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

    A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

    Ferme MBAM en cliquant sur Quitter.

    Poste le rapport dans ta réponse.
    ========================================

    ->Relance CCleaner.
    Suppression des incohérences du registre

    • Clique sur l'icône [Registre] situés dans la marge à gauche
    • Puis clique sur [Analyser les erreurs]
    • Patiente pendant que CCleaner scan ton registre.
    • Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
    • Tu peux cliquer ensuite sur [Corriger les erreurs].

    Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
    ========================================
    ->Vide ta Corbeille.
    ========================================
    ->Redémarre en mode normal,

    - > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Utilisation :
    Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
    Ensuite, cliquer sur "Cliquez ici pour scanner".
    Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

    Copier/coller le rapport entier sur le forum.

    Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
    [Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
    0
  14. kisskool
     
    Voilà le rapport MBAM.(J'ai eu un peu de mal avec ce logiciel, il ne voulait pas se lancer suite à des erreurs d'exécution)

    Malwarebytes' Anti-Malware 1.30
    Database version: 1306
    Windows 5.1.2600 Service Pack 2

    28/11/2008 13:29:27
    mbam-log-2008-11-28 (13-29-27).txt

    Scan type: Quick Scan
    Objects scanned: 46509
    Time elapsed: 4 minute(s), 0 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 0
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 0

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    (No malicious items detected)

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    (No malicious items detected)
    0
    1. kisskool
       
      Pour ce qui est du scan en ligne bit defender, impossible de le faire : scan failed à chaque fois, lorsque que j'arrive à 100% signature virus.
      En plus en mode normal l'UC est toujours à 100% quand ca scan....
      0
  15. kisskool
     
    A ce niveau là, je ne vois vraiment pas pourquoi mon ordi a ces 2 problèmes. Enfin, je pense que le redémarrage découle de l'UC à 100%, mais franchement, avec les scans et autres qu'on a fait...

    Je me demande meme, si je formate, si le problème persistera. :x

    Enfin, je verrais ca un peu plus tard. Je ne voudrais pas formater et qu'on trouve la solution peu de temps après ^^.

    En tout cas je remercie Lyonnais92 pour toutes tes réponses.

    Kisskool, battu par une machine depuis 1 semaine.
    0
  16. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    bonjour,

    quel est le programme qui bouffe l'UC à 100 %

    0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    fais aussi ça :

    Télécharge sur ton bureau RogueRemover de RubbeR DuckY :

    ouvre ce lien : https://www.malwarebytes.com/for-home/products/

    Clique sur "Downloads from Malwarebytes.org" et sauvegarde rr-free-setup.exe sur ton Bureau.

    Double clique sur ce fichier pour lancer l'installation de RogueRemover et suis les instructions.

    Mets à jour quand on te le demande (update).

    Ensuite, clique sur le bouton Scan.

    Lorsque le scan est terminé, si des rogues sont détectés, clique sur le bouton Save Log Files en bas, un fichier texte de type RRLogs1236.txt sera créé dans le dossier C:\RogueRemover.

    Poste ce rapport dans ta réponse.
    0
  18. kisskool
     
    Re,

    Alors le programme qui me bouffe l'UC, c'est mon antivirus : il prend plus de 100 000Ko (des fois meme 120 000Ko), alors qu'explorer dépasse très rarement les 30 000Ko et firefox reste dans les 40 000Ko.
    0
    1. kisskool
       
      J'ai fait le scan Rogue, rien n'est détecté.

      Hum par contre une précision, c'est mon antivirus qui me bouffe l'UC, mais, en mode sans échec, il n'est pas actif, et ca redémarre quand meme (moins souvent c'est vrai).
      0
  19. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    essaye avec l'antivirus en ligne de Kaspersky.

    Désactive la garde résidente de F-Secure pendant le scan.

    Fais un scan en ligne Kaspersky avec Internet Explorer :
    - Clique sur Démarrer Online-Scanner

    - Clique maintenant sur J'accepte.
    - Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
    - Patiente pendant l'installation des Mises à jour.
    - Choisis par la suite l'analyse du Poste de travail.
    - Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Configurer le contrôle des ActiveX

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    0
  20. kisskool
     
    Re,

    J'ai fait le scan, mais mon ordi a redémarré vers les 97%, du coups je n'ai pas de rapport. En tout cas à ce stade, il n'y avait aucunes anomalies.
    0
  21. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    on va regarder la piste rootkit.

    Télécharger GMER ( http://www2.gmer.net/gmer.zip )
    Extraire le contenu du ZIP puis renommer "gmer.exe" en "bypass.exe"
    Onglet "Rootkit" ; cliquez sur "SCAN" puis patienter...
    En fin de traitement cliquez sur "SAVE" et enregistrer sur votre bureau "011208.txt"
    Double cliquez sur "011208.txt" ; le fichier s'ouvre dans le bloc-notes.
    Copiez le contenu et collez le sur votre prochain message.

    Si nécessaire,a près le téléchargement, déconnexion du Net et désactivation de l'antivirus.

    Réactivation de l'antivirus avant toute reconnexion.
    0
  • 1
  • 2