Sujet Précédent Sujet Suivant

UC à 100% et Redémarrage intempestif

kisskool -  
 kisskool -
Bonjour,

Voilà depuis deux jours je rencontre deux problèmes : mon UC est constement (ou presque) à 100% et mon ordinateur redémarre très très souvent (et c'est horrible comme ca rame !).

Et quand je dis très souvent c'est vraiment très souvent : par exemple rien que pour l'allumer il a redémarré trois fois...Toujours quand l'UC est à 100%, mais pas dès que c'est à 100%, ca varie. Il se peut qu'il ne redémarre qu'au bout de quelque temps, pas directement quand l'UC passe à 100%.

Bon je vous met dans le contexte du comment : il y a deux jours, je jouais tranquillement à un petit jeu, quand tout à coups, paf, mon ordinateur redémarre. Depuis, c'est la misère.

J'ai consulté un bon paquet de forum sur l'UC à 100% et les redémarrages intempestifs, et j'ai trouvé diverses réponses qui reviennent souvent :
-Process trop chaud
-Virus SASSER
-Pare feu windows qui pompe l'UC
-Controle à distance de l'ordi
-Fichier .avi qui fout son bordel

Pour ma part, ca m'a pas du tout aidé :
-Température de mon ordi pas très haute
-Test avec Fx-Sasser : pas de virus sasser trouvé
-Pare feu désactivé
-Controle à distance désactivé
-Et pour fichier .avi je ne sais pas mais j'en doute, ca ne peut pas venir comme ca du jour au lendemin

Donc je suis dans l'impasse...J'ai 45 processus actifs, et mon antivirus (F-secure) me prend 76 000 Ko environ, par rapport aux 54 000 Ko de firefox ou 34 000 Ko d'explorer.

Je me suis dit que c'est peut etre mon antivirus qui dysfonctionne et que ca me pompe l'UC, mais meme en l'arretant, l'UC est à 100% et mon ordi finit toujours pas redémarrer.

Si vous avez besoin de plus d'informations (concernant mon ordinateur ou autre) demandez le moi.
Et si vous trouvez une solution à mon problème (qui marche !), des chocolats de Noel pour tout le monde ! ^^

Ah une petite précision : j'aimerais vraiment ne pas devoir formater.

Voilà, en espérant trouver une solution, je vous souhaite une bonne journée.

Kisskool, complètement laché par une machine.

35 réponses

  • 1
  • 2
Réponse 1 / 35
Utilisateur anonyme
 
Salut, dans les reponses que tu as trouvé, je vois que tu n'as pas celle du nettoyage ( aeration, ventilo) ! peut-etre la solution à ton problème...
0
Réponse 2 / 35
kisskool
 
Effectivement ! Il faut que je voie ca, mais je n'ai pas l'impression que le ventilo soit plein de poussière ou que les aérations soient bouchés (ca ne peut faire que du bien de nettoyer, remarque).

J'ai regardé avec Everest, au bout d'une heure (miracle que mon ordi ai pas redémarré !), le process est à 55 degrés et la carte mère à 35 degré. J'ai bien peur de ne pas m'y connaitre, mais il me semble que ce n'est pas alarmant.

Enfin je vais nettoyer tout ca, ca ne coute rien d'essayer.

Merci pour ta réponse !
0
kisskool
 
Bon eh bien non ce n'est pas un problème de ventilation ou d'aération.

Je commence à trouver l'idée du formatage alléchante...:X

Si quelqu'un aurait une autre idée je suis preneur !
0
Réponse 3 / 35
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

quel est le processus qui te "bouffe" l'UC ?

================

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt
0
Réponse 4 / 35
kisskool
 
Ok c'est fait !

Alors une précision, je suis en mode sans echec, sans cela, c'est presque mission impossible pour naviguer sans que ca redémarre. (dans ce mode l'UC n'est qu'à 39% maximum)

Deuxième précision, j'ai déjà fait un scan hijack et supprimé les lignes "pas bonnes" grace à la liste Pac-Man.

Voilà la copie du contenu de log :

Logfile of random's system information tool 1.04 (written by random/random)
Run by Administrateur at 2008-11-25 15:29:32
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 6 GB (15%) free of 38 GB
Total RAM: 1527 MB (81% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:44, on 25/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WiFi Station pour Livebox.lnk = ?
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{C143C1B5-6755-49CB-8890-8FD9AA940CAC}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program Files\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 35
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

utilise Internet Explorer pour ce téléchargement;

supprime (si il existe Combofix.exe sur ton Bureau ainsi que le répertoire Qoobox à la racine du disque, en général C:\Qoobox).

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau sous le nom de tructs . Enregistre le au moment de l'ouverture de la fenêtre, pas après qu'il soit sur le Bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

double-clique sur combofix.exe (renommé en tructs.exe) et suis les instructions

en particulier, tu installes la Console de récupération.

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
Réponse 6 / 35
kisskool
 
Re !

Voilà, j'ai suivis ta démarche, et voici le rapport :

ComboFix 08-11-24.03 - Administrateur 2008-11-25 18:23:26.1 - NTFSx86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1292 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\tructs.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\iexp_log.txt

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-25 au 2008-11-25 ))))))))))))))))))))))))))))))))))))
.

2008-11-25 15:29 . 2008-11-25 15:29 <REP> d-------- C:\rsit
2008-11-25 15:29 . 2008-11-25 15:29 <REP> d-------- c:\program files\trend micro
2008-11-24 16:27 . 2008-11-24 16:27 <REP> d-------- c:\program files\Lavalys
2008-11-23 16:18 . 2008-11-23 16:19 <REP> d-------- c:\windows\BDOSCAN8
2008-11-23 00:11 . 2007-10-04 17:29 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2008-11-23 00:11 . 2007-10-04 17:29 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2008-11-23 00:11 . 2007-10-08 09:10 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2008-11-23 00:11 . 2007-10-04 17:29 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2008-11-23 00:11 . 2007-10-04 17:29 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2008-11-23 00:11 . 2008-11-25 15:50 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2008-11-23 00:11 . 2008-11-25 15:52 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2008-11-23 00:11 . 2008-11-23 00:11 <REP> d-------- c:\documents and settings\Administrateur
2008-11-22 22:57 . 2008-11-22 22:56 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-22 17:02 . 2008-11-24 20:08 <REP> d-------- c:\program files\Dofus
2008-11-10 23:19 . 2008-11-10 23:19 <REP> d-------- c:\program files\VideoLAN
2008-11-10 23:04 . 2008-11-10 23:05 <REP> d-------- c:\program files\LimeWire

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-24 13:54 90,112 ----a-w c:\windows\DUMP6c75.tmp
2008-11-22 21:56 --------- d-----w c:\program files\Java
2008-11-22 21:00 --------- d-----w c:\program files\DivX
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 21:07 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-10-06 23:42 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-10-06 23:31 --------- d-----w c:\documents and settings\All Users\Application Data\Adobe Systems
2008-10-06 22:53 --------- d-----w c:\program files\Fichiers communs\Adobe Systems Shared
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-19 21:55 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-09-19 21:55 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-09-15 15:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
2008-09-04 16:45 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-29 19:06 1,350,664 ----a-w c:\windows\system32\msxml6.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2002-05-28 69632]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"F-Secure Manager"="c:\program files\F-Secure\Common\FSM32.EXE" [2002-12-05 106571]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-22 136600]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-07-07 185896]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
WiFi Station pour Livebox.lnk - c:\program files\Hercules\WiFi Station pour Livebox\WifiStationLB.exe [2007-10-14 721408]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)
"NoRecentDocsNetHood"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoFavoritesMenu"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMyMusic"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=

S2 BackWeb Client - 7681197;F-Secure BackWeb;c:\progra~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE [2007-10-10 16384]
S2 F-Secure Filter;F-Secure File System Filter;\??\c:\program files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2007-10-10 48720]
S2 F-Secure Gatekeeper;F-Secure Gatekeeper;\??\c:\program files\F-Secure\Anti-Virus\Win2K\FSgk.sys [2007-10-10 42672]
S2 F-Secure Recognizer;F-Secure File System Recognizer;\??\c:\program files\F-Secure\Anti-Virus\Win2K\FSrec.sys [2007-10-10 16048]
S2 FSpm;F-Secure Policy Manager;\??\c:\program files\F-Secure\Common\FSPM.SYS [2007-10-10 65328]

*Newly Created Service* - PROCEXP90
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\8gzz2oz2.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 18:24:51
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-11-25 18:25:58
ComboFix-quarantined-files.txt 2008-11-25 17:25:41

Avant-CF: 6 039 134 208 octets libres
Après-CF: 6,044,291,072 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

113 --- E O F --- 2008-11-12 15:28:02
0
Réponse 7 / 35
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

essaye de faire ceci en mode normal (sinon, tu le fais en mode sans échec avec prise en charge réseau).

Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
0
Réponse 8 / 35
kisskool
 
Voilà voilà c'est fait, mais en mode sans échec avec prise en charge du réseau (si je me met en normal, ca redémarre presque directement :x).

SmitFraudFix v2.378

Rapport fait à 20:01:08,34, 25/11/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Hercules Wireless G USB - Miniport d'ordonnancement de paquets
DNS Server Search Order: 86.64.145.144
DNS Server Search Order: 84.103.237.144

HKLM\SYSTEM\CCS\Services\Tcpip\..\{828837DC-D201-44EF-B359-A23BD806920D}: DhcpNameServer=86.64.145.144 84.103.237.144
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C143C1B5-6755-49CB-8890-8FD9AA940CAC}: NameServer=212.27.32.176,212.27.32.177
HKLM\SYSTEM\CS1\Services\Tcpip\..\{828837DC-D201-44EF-B359-A23BD806920D}: DhcpNameServer=86.64.145.144 84.103.237.144
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C143C1B5-6755-49CB-8890-8FD9AA940CAC}: NameServer=212.27.32.176,212.27.32.177
HKLM\SYSTEM\CS2\Services\Tcpip\..\{828837DC-D201-44EF-B359-A23BD806920D}: DhcpNameServer=86.64.145.144 84.103.237.144
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C143C1B5-6755-49CB-8890-8FD9AA940CAC}: NameServer=212.27.32.176,212.27.32.177
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.144 84.103.237.144
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.144 84.103.237.144
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.144 84.103.237.144

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 9 / 35
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

================================
0
Réponse 10 / 35
kisskool
 
Voici le rapport du nettoyage (option 2) :

SmitFraudFix v2.378

Rapport fait à 22:30:52,28, 25/11/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Hercules Wireless G USB - Miniport d'ordonnancement de paquets
DNS Server Search Order: 86.64.145.144
DNS Server Search Order: 84.103.237.144

HKLM\SYSTEM\CCS\Services\Tcpip\..\{828837DC-D201-44EF-B359-A23BD806920D}: DhcpNameServer=86.64.145.144 84.103.237.144
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C143C1B5-6755-49CB-8890-8FD9AA940CAC}: NameServer=212.27.32.176,212.27.32.177
HKLM\SYSTEM\CS1\Services\Tcpip\..\{828837DC-D201-44EF-B359-A23BD806920D}: DhcpNameServer=86.64.145.144 84.103.237.144
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C143C1B5-6755-49CB-8890-8FD9AA940CAC}: NameServer=212.27.32.176,212.27.32.177
HKLM\SYSTEM\CS2\Services\Tcpip\..\{828837DC-D201-44EF-B359-A23BD806920D}: DhcpNameServer=86.64.145.144 84.103.237.144
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C143C1B5-6755-49CB-8890-8FD9AA940CAC}: NameServer=212.27.32.176,212.27.32.177
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.144 84.103.237.144
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.144 84.103.237.144
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=86.64.145.144 84.103.237.144

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Je redémarre en mode normal.
0
Réponse 11 / 35
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

il a redémarré ?
0
kisskool
 
Oui il a redémarré, et j'ai eu plusieurs messages comme quoi windows a récupéré d'erreurs sérieuses.

Mais le problème persiste. Une seule amélioration : l'UC n'est plus à 100% en continue, c'est à 100% par période.
0
kisskool > kisskool
 
Faut-il que je formate ? Je n'en ai pas très envie mais si ca peut sauver mon ordi....
0
Réponse 12 / 35
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

on n'en est pas encore là.

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.

Antispywares et autres :

Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.

Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]

========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un scan rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter.

Poste le rapport dans ta réponse.
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,

- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

http://www.bitdefender.fr/scan_fr/scan8/ie.html

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
0
Réponse 13 / 35
kisskool
 
Voilà le rapport MBAM.(J'ai eu un peu de mal avec ce logiciel, il ne voulait pas se lancer suite à des erreurs d'exécution)

Malwarebytes' Anti-Malware 1.30
Database version: 1306
Windows 5.1.2600 Service Pack 2

28/11/2008 13:29:27
mbam-log-2008-11-28 (13-29-27).txt

Scan type: Quick Scan
Objects scanned: 46509
Time elapsed: 4 minute(s), 0 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
0
kisskool
 
Pour ce qui est du scan en ligne bit defender, impossible de le faire : scan failed à chaque fois, lorsque que j'arrive à 100% signature virus.
En plus en mode normal l'UC est toujours à 100% quand ca scan....
0
Réponse 14 / 35
kisskool
 
A ce niveau là, je ne vois vraiment pas pourquoi mon ordi a ces 2 problèmes. Enfin, je pense que le redémarrage découle de l'UC à 100%, mais franchement, avec les scans et autres qu'on a fait...

Je me demande meme, si je formate, si le problème persistera. :x

Enfin, je verrais ca un peu plus tard. Je ne voudrais pas formater et qu'on trouve la solution peu de temps après ^^.

En tout cas je remercie Lyonnais92 pour toutes tes réponses.

Kisskool, battu par une machine depuis 1 semaine.
0
Réponse 15 / 35
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
bonjour,

quel est le programme qui bouffe l'UC à 100 %

0
Réponse 16 / 35
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

fais aussi ça :

Télécharge sur ton bureau RogueRemover de RubbeR DuckY :

ouvre ce lien : https://www.malwarebytes.com/for-home/products/

Clique sur "Downloads from Malwarebytes.org" et sauvegarde rr-free-setup.exe sur ton Bureau.

Double clique sur ce fichier pour lancer l'installation de RogueRemover et suis les instructions.

Mets à jour quand on te le demande (update).

Ensuite, clique sur le bouton Scan.

Lorsque le scan est terminé, si des rogues sont détectés, clique sur le bouton Save Log Files en bas, un fichier texte de type RRLogs1236.txt sera créé dans le dossier C:\RogueRemover.

Poste ce rapport dans ta réponse.
0
Réponse 17 / 35
kisskool
 
Re,

Alors le programme qui me bouffe l'UC, c'est mon antivirus : il prend plus de 100 000Ko (des fois meme 120 000Ko), alors qu'explorer dépasse très rarement les 30 000Ko et firefox reste dans les 40 000Ko.
0
kisskool
 
J'ai fait le scan Rogue, rien n'est détecté.

Hum par contre une précision, c'est mon antivirus qui me bouffe l'UC, mais, en mode sans échec, il n'est pas actif, et ca redémarre quand meme (moins souvent c'est vrai).
0
Réponse 18 / 35
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

essaye avec l'antivirus en ligne de Kaspersky.

Désactive la garde résidente de F-Secure pendant le scan.

Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur Démarrer Online-Scanner

- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
0
Réponse 19 / 35
kisskool
 
Re,

J'ai fait le scan, mais mon ordi a redémarré vers les 97%, du coups je n'ai pas de rapport. En tout cas à ce stade, il n'y avait aucunes anomalies.
0
Réponse 20 / 35
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

on va regarder la piste rootkit.

Télécharger GMER ( http://www2.gmer.net/gmer.zip )
Extraire le contenu du ZIP puis renommer "gmer.exe" en "bypass.exe"
Onglet "Rootkit" ; cliquez sur "SCAN" puis patienter...
En fin de traitement cliquez sur "SAVE" et enregistrer sur votre bureau "011208.txt"
Double cliquez sur "011208.txt" ; le fichier s'ouvre dans le bloc-notes.
Copiez le contenu et collez le sur votre prochain message.

Si nécessaire,a près le téléchargement, déconnexion du Net et désactivation de l'antivirus.

Réactivation de l'antivirus avant toute reconnexion.
0

Discussions similaires

m3 en m2 : comment convertir ?
valou -
101101001 -

7 réponses
besoin d'aide pour la conversion de format
tadoni -
renard bleu -

1 réponse
Comment convertir des m3 en m2 ?
Citronelle -
Citronelle16 -

2 réponses
Combien 1m3 pour 1m2
angieb92 -
piquesous -

6 réponses
Question 1 Mb = ?Mo
allosme -
Kayzer54 -

6 réponses