Processeur anormalement élevé

ZouBaB · le 15 novembre 2006

Bonjour tout le monde.

Depuis quelques jours mon uc était étrangement haut (aux alentours de 70%), aujourd hui celui ci est passé a 100% et m'empeche de continuer mes activités tellement mon pc rame atrocement.

J'ai donc décidé de retrousser mes manches et j'ai lancé de très nombreux anti spyware, de nombreuses "choses" ont été trouvé dont quelques unes répondant a un nom bien effrayant (trojan et compagnie). J'ai essayé de faire des scan online mais malheureusement mon pc patauge dans la bouge et plante a chaque fois en plein milieu.

J'avais un processus nommé explore.exe qui était douteux et je suis parvenu à en trouver la cause (un coolwebsearch) mais même si j'ai pu constater des améliorations, le fait est que mon UC est a present autours des 40% ce qui est encore beaucoup trop.

J'ai donc décidé d'avoir recour a votre aide et d'utiliser ce fameux logiciel hijackthis en espérant qu'il puisse résoudre ce probleme qui commence a mechauffer sérieusement lol.

Logfile of HijackThis v1.99.1

Scan saved at 01:40:11, on 15/11/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

D:\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\wanmpsvc.exe

D:\Zone Labs\ZoneAlarm\zapro.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rushtime.org/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\NetTransport 2\NTIEHelper.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\RunServices: [1337 virus] explore.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: AOL 8.0 Icône AOL.lnk = D:\AOL 8.0\aoltray.exe

O4 - Global Startup: ZoneAlarm Pro.lnk = D:\Zone Labs\ZoneAlarm\zapro.exe

O8 - Extra context menu item: &Télécharger avec NetTransport - D:\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Tout t&élécharger avec NetTransport - D:\NetTransport 2\NTAddList.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9F442E02-7A3D-4A7F-8F7F-1700BFF6A3BD}: NameServer = 205.188.146.145

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

J'ai essayé d'analyser ce log tout seul mais sur la fin j'étais un peu perdu lol donc je m'en remet a votre savoir ^^

Merci d'avance

Modifié le 15 novembre 2006 par ZouBaB

Thanos · le 15 novembre 2006

salut et bienvenue

Ton pc est encore infecté par Win32.Rbot.EXB. Ce qu'on va faire, c'est scanner ton pc en mode sans échec avec un antivirus efficace plutôt qu'un scan en ligne.L'avantage c'est que cet antivirus ne cosomme aucune mémoire car il ne protège pas ton pc.

Étape 1:

Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

-Télécharge ATF Cleaner by Atribune sur ton bureau.

Étape 2:

Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

Ne pas lancer le scan tout de suite !

Étape 3:

Redémarre en mode Sans Échec :

1) Redémarre ton ordi

2) Tapote la touche F8 immédiatement, juste après le "Bip"

3) Tu verras un écran avec options de démarrage apparaître

4) Choisi la première option : Sans Échec, et valide avec "Entrée"

5) Choisi ton compte régulier, et non Administrateur

Étape 4:

Double-clique surATF-Cleaner.exe afin de lancer le programme.

Pour internet explorer
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Pour Firefox
Sous l'onglet Firefox, choisis : Select All
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique le bouton Empty Selected

Clique Exit, du menu prinicipal, afin de fermer le programme.

Du mode Sans Échec, voici comment utiliser eScan Antivirus Toolkit :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse + un nouveau rapport hijackthis.

ZouBaB · le 15 novembre 2006

Merci pour la réponse rapide !

Alors j'ai fait tout comme tu as dit mais mon uc décolle toujours assez haut, voici les différents logs :

File C:\Documents and Settings\Administrateur\Favoris\Liste des codes dans la catégorie Effets (Effets) (189 sources) par date d'ajout Page N°3-8 ¤ JavascriptFR.com Javascript - D.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File C:\Documents and Settings\Administrateur\Mes documents\copylock\CopyLock.exe tagged as not-a-virus:RiskTool.Win32.Replacer.a. No Action Taken.

File C:\Documents and Settings\Administrateur\Mes documents\copylock.zip tagged as not-a-virus:RiskTool.Win32.Replacer.a. No Action Taken.

File C:\Documents and Settings\Administrateur\Mes documents\Mes fichiers reçus\cracksearcher.zip infected by "HackTool.Win32.CrackSearch.a" Virus. Action Taken: File Renamed.

File C:\Program Files\Norton AntiVirus\Quarantine\09A10C50 infected by "Net-Worm.Win32.Padobot.c" Virus. Action Taken: File Deleted.

File C:\Program Files\Norton AntiVirus\Quarantine\0A4E3D91 infected by "Net-Worm.Win32.Padobot.c" Virus. Action Taken: File Deleted.

File C:\Program Files\Norton AntiVirus\Quarantine\0B772A4A infected by "Net-Worm.Win32.Padobot.c" Virus. Action Taken: File Deleted.

File C:\Program Files\Norton AntiVirus\Quarantine\0E5B5C0F infected by "Trojan.Java.ClassLoader.u" Virus. Action Taken: File Deleted.

File C:\Program Files\Norton AntiVirus\Quarantine\17281E33 infected by "Backdoor.Win32.HackTack.2K.a" Virus. Action Taken: File Renamed.

File C:\Program Files\Norton AntiVirus\Quarantine\172C4830 infected by "Backdoor.Win32.HackTack.2K.a" Virus. Action Taken: File Renamed.

File C:\Program Files\Norton AntiVirus\Quarantine\186C74F4.exe infected by "Backdoor.Win32.HackTack.2K.a" Virus. Action Taken: File Renamed.

File C:\Program Files\Norton AntiVirus\Quarantine\28CA5641.class infected by "Trojan.Java.ClassLoader.Dummy.d" Virus. Action Taken: File Deleted.

File C:\Program Files\Norton AntiVirus\Quarantine\29DC4778.class infected by "Exploit.Java.ByteVerify" Virus. Action Taken: File Renamed.

File C:\Program Files\Norton AntiVirus\Quarantine\2BDA6DAE infected by "Exploit.HTML.IframeBof" Virus. Action Taken: File Renamed.

File C:\Program Files\Norton AntiVirus\Quarantine\2DE10173 infected by "Exploit.HTML.IframeBof" Virus. Action Taken: File Renamed.

File C:\Program Files\Norton AntiVirus\Quarantine\2FE93B18 infected by "Trojan.Java.ClassLoader.u" Virus. Action Taken: File Deleted.

File C:\Program Files\Norton AntiVirus\Quarantine\4BFF481B.mbox infected by "Email-Worm.Win32.Sobig.f" Virus. Action Taken: File Deleted.

File C:\Program Files\Norton AntiVirus\Quarantine\51AE0661.VIR infected by "Virus.Win9x.CIH" Virus. Action Taken: File Disinfected.

File C:\Program Files\Norton AntiVirus\Quarantine\5E1B3F2A infected by "Exploit.HTML.IframeBof" Virus. Action Taken: File Renamed.

File C:\Program Files\Norton AntiVirus\Quarantine\63396A76 infected by "Trojan-Downloader.Win32.Small.xk" Virus. Action Taken: File Deleted.

File C:\Program Files\Norton AntiVirus\Quarantine\65C637A8 infected by "Trojan-Spy.Win32.Banker.bq" Virus. Action Taken: File Deleted.

File C:\Program Files\Norton AntiVirus\Quarantine\65C961A4 infected by "Trojan.Java.ClassLoader.u" Virus. Action Taken: File Deleted.

File C:\Program Files\Norton AntiVirus\Quarantine\7B0A1208.class infected by "Exploit.Java.ByteVerify" Virus. Action Taken: File Renamed.

File C:\Program Files\Norton AntiVirus\Quarantine\7B8D2179.class infected by "Exploit.Java.ByteVerify" Virus. Action Taken: File Renamed.

File C:\Program Files\Norton AntiVirus\Quarantine\7B937572.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

File C:\RECYCLER\NPROTECT\00002515.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{35826341-B509-48B1-8F64-607C196C4B12}\RP557\A0236138.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

-----------------------------

Et le log hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 13:54:59, on 15/11/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

D:\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

D:\Zone Labs\ZoneAlarm\zapro.exe

C:\WINDOWS\System32\ZoneLabs\vsmon.exe