Mémoire virtuelle saturée

[Joseph_a]

Bonjour,

 

Je suis bloqué depuis une semaine par la mémoire virtuelle qui sature à 2.5 GO environ, le message arrive après un certain temps d'utilisation, sans qu'un logiciel particulier paraisse plus particulièrement concerné.

 

J'ai eu l'infection Spyware Secure, apparamment éradiquée avec AVG Rootkit.

 

J'ai passé :

AVG Antispyware

AdAware

Spybot & Destroy

 

rien ne semble solutionner le problème, il n'y a pas de bêbêttes reconnues.

J'ai l'antivirus d'orange, en essayant de l'exécuter pour analyser le système, blocage après une demi-heure d'analyse, sur un fichier .cab.

 

Merci de bien vouloir m'aider.

 

Cordialement

[wong]

Bonjour Joseph a,

 

En attendant qu'un membre de l'équipe de sécurité te prenne en charge, voilà ce que tu peux faire :

 

 

1°) Télécharge la dernière version d'HijackThis : http://www.merijn.org/files/hijackthis.zip

ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité.

 

Pour t'aider, voici le tuto de BipBip : http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

 

Installation et utilisation d'HijackThis ( Crée un nouveau dossier à la racine de C:\Program Files\HijackThis ) :

• Double clique sur Poste de travail
  
• Double clique sur l'icone de C:
  
• Double clique sur le répertoire Program Files
  
• Clique droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis
  
• Dézippe le programme précédemment téléchargé dans ce nouveau dossier HijackThis ( Important : surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire ).
  
• Crée un raccourci sur ton bureau.
  

Tu fermes tout les programmes ouverts y compris le navigateur ( sauf ton anti-virus et pare-feux )

• Lance HijackThis
  
• Clique sur " Do a system scan and save the logfile "
  
• Cela va t'ouvrir un rapport dans le Bloc note à la fin du scan.
  
• Copie/Colle son contenu dans ton prochain message
  

 

2°) Télécharge Blacklight (de F-Secure ) : https://europe.f-secure.com/blacklight/try.shtml

• Clique sur " I ACCEPT " au bas de la page. Sauvegarde-le sur ton Bureau.
   
  
• Double-clique blbeta.exe et accepte la licence.
  
• Clique Scan, puis Next
   
  
• Tu verras une liste de fichiers détectés apparaître.
  
• Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log ( les xxxxxxx sont des chiffres ).
  
• NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
  
• Copie/Colle le contenu de ce rapport dans ta prochaine réponse
  

 

Poste les 2 rapports ( celui de HijackThis et celui de BlackLight ) dans ta réponse

[Joseph_a]

Bonjour Joseph a,

 

En attendant qu'un membre de l'équipe de sécurité te prenne en charge, voilà ce que tu peux faire :

1°) Télécharge la dernière version d'HijackThis : http://www.merijn.org/files/hijackthis.zip

ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité.

 

Pour t'aider, voici le tuto de BipBip : http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

 

Installation et utilisation d'HijackThis ( Crée un nouveau dossier à la racine de C:\Program Files\HijackThis ) :

• Double clique sur Poste de travail
  
• Double clique sur l'icone de C:
  
• Double clique sur le répertoire Program Files
  
• Clique droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis
  
• Dézippe le programme précédemment téléchargé dans ce nouveau dossier HijackThis ( Important : surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire ).
  
• Crée un raccourci sur ton bureau.
  

Tu fermes tout les programmes ouverts y compris le navigateur ( sauf ton anti-virus et pare-feux )

• Lance HijackThis
  
• Clique sur " Do a system scan and save the logfile "
  
• Cela va t'ouvrir un rapport dans le Bloc note à la fin du scan.
  
• Copie/Colle son contenu dans ton prochain message
  

2°) Télécharge Blacklight (de F-Secure ) : https://europe.f-secure.com/blacklight/try.shtml

• Clique sur " I ACCEPT " au bas de la page. Sauvegarde-le sur ton Bureau.
   
  
• Double-clique blbeta.exe et accepte la licence.
  
• Clique Scan, puis Next
   
  
• Tu verras une liste de fichiers détectés apparaître.
  
• Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log ( les xxxxxxx sont des chiffres ).
  
• NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
  
• Copie/Colle le contenu de ce rapport dans ta prochaine réponse
  

Poste les 2 rapports ( celui de HijackThis et celui de BlackLight ) dans ta réponse

[Joseph_a]

Bonjour,

 

Avec un peu de retard, voici les logs demandés. Merci de bien vouloir les analyser.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:18:19, on 13/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntivirusFirewall\Common\FSM32.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe

C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe

C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe

C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe

C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE

C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe

C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE

C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE

C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe

c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\AntivirusFirewall\Common\FCH32.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE

C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe

C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe

C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe

C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe

C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\AUGEREAU\Bureau\Logiciels Ajoutés\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NetLibre - L'esprit libre

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezobho.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll (file missing)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot

O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: VirtualExpander.lnk = C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe

O4 - Global Startup: Acer Empowering Technology.lnk = ?

O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe

O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll

O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.secuser.com

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jin...ows-i586-jc.cab

O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (MediaBar) - http://sib1.od2.com/common/musicmanager/in...nagerPlugin.CAB

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - https://www.fnacmusic.com/telechargementFna...acComposant.cab

O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe

O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 9399 bytes

 

Rapport BlaklLight

08/13/07 11:19:29 [info]: BlackLight Engine 1.0.64 initialized

08/13/07 11:19:29 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/13/07 11:19:30 [Note]: 7019 4

08/13/07 11:19:30 [Note]: 7005 0

08/13/07 11:19:35 [Note]: 7006 0

08/13/07 11:19:35 [Note]: 7011 1824

08/13/07 11:19:35 [Note]: 7026 0

08/13/07 11:19:35 [Note]: 7026 0

08/13/07 11:19:47 [Note]: FSRAW library version 1.7.1022

08/13/07 11:24:47 [Note]: 2000 1012

08/13/07 12:45:49 [Note]: 7007 0

[eclypse]

Salut,

 

Peux tu faire un scan Panda antivirus en ligne Par INTERNET EXPLORER : http://www.pandasoftware.com/activescan/fr...n_principal.htm

 

Poste le rapport

 

PS : Ton log hijackthis ne montre rien de mechant

 

Amicalement

 

Eclypse

[Joseph_a]

Salut,

 

Peux tu faire un scan Panda antivirus en ligne Par INTERNET EXPLORER : http://www.pandasoftware.com/activescan/fr...n_principal.htm

 

Poste le rapport

 

PS : Ton log hijackthis ne montre rien de mechant

 

Amicalement

 

Eclypse

 

 

Voici le résultat de l'analyse Panda Total Scan

 

ANALYSIS: 2007-08-13 14:10:00

PROTECTIONS: 1

MALWARE: 1

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

AntiVirus Firewall 6.15 6.15 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\AUGEREAU\Cookies\augereau@xiti[1].txt

;===================================================================================================================================================================================

SUSPECTS

Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

 

 

A priori, pas de gros soucis.

 

J'envisage de désactiver AntivirusFirewall d'Orange pour mettre un autre antivirus NOD32 par exemple en test quelque temps, q'en penses tu ??

 

Merci encore et bien cordialement.

[eclypse]

oui comme tu le sens

[Joseph_a]

oui comme tu le sens

Bonjour,

 

Pour infos....

 

Désinstallation d'antivirus Firewall d'Orange

 

Installation de NOD32 (1 mois gratuit)

 

et ...... Plus de problèmes !!!

 

C'est quand même curieux qu'un ou plusisurs processus fasse des misères à XP, mais le résultat est là. La machine tourne au moins deux fois plus vite.

 

Si tu trouvais des informations sur le sujet, je serais bien content d'en connaitre les détails.

 

Merci encore pour tout, et bien cordialement à toi.

[Florent]

N'oublie pas en passant de te désabonner de l'option antivirus/firewall securitoo