[Résolu] Augmentation de l'utilisation du CPU

[kholl]

Bonjour à tous,

 

Je me permets de vous demander un peu d'aide, depuis 3/4 jours mon processeur est passé d'une utilisation "normale" à d'énorme bonds pouvant atteindre 100% entrainant quelque fois un freeze.

 

J'imagine avoir choppé une merdouille.

 

Avira m'indique 64 objets cachés (ce qui n'était pas le cas lors du scan complet précédent), si dessous le rapport

 

 

=================================================================================

 

 

Avira Free Antivirus

Date de création du fichier de rapport : vendredi 20 avril 2012 23:45

 

La recherche porte sur 3668422 souches de virus.

 

Le programme fonctionne en version intégrale illimitée.

Les services en ligne sont disponibles.

 

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows 7 x64

Version de Windows : (Service Pack 1) [6.1.7601]

Mode Boot : Démarré normalement

Identifiant : Système

Nom de l'ordinateur : LEPCDESYD

 

Informations de version :

BUILD.DAT : 12.0.0.207 41963 Bytes 20/02/2012 15:58:00

AVSCAN.EXE : 12.1.0.20 492496 Bytes 15/02/2012 21:03:24

AVSCAN.DLL : 12.1.0.19 64976 Bytes 21/02/2012 13:42:38

LUKE.DLL : 12.1.0.19 68304 Bytes 15/02/2012 21:03:24

AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15/02/2012 21:03:24

AVREG.DLL : 12.1.0.36 229128 Bytes 05/04/2012 16:23:36

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:18:34

VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 23:35:44

VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 03:12:39

VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 21:06:53

VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 16:30:45

VBASE005.VDF : 7.11.26.45 2048 Bytes 28/03/2012 16:30:45

VBASE006.VDF : 7.11.26.46 2048 Bytes 28/03/2012 16:30:45

VBASE007.VDF : 7.11.26.47 2048 Bytes 28/03/2012 16:30:45

VBASE008.VDF : 7.11.26.48 2048 Bytes 28/03/2012 16:30:45

VBASE009.VDF : 7.11.26.49 2048 Bytes 28/03/2012 16:30:45

VBASE010.VDF : 7.11.26.50 2048 Bytes 28/03/2012 16:30:45

VBASE011.VDF : 7.11.26.51 2048 Bytes 28/03/2012 16:30:45

VBASE012.VDF : 7.11.26.52 2048 Bytes 28/03/2012 16:30:46

VBASE013.VDF : 7.11.26.53 2048 Bytes 28/03/2012 16:30:46

VBASE014.VDF : 7.11.26.107 221696 Bytes 30/03/2012 16:24:13

VBASE015.VDF : 7.11.26.179 224768 Bytes 02/04/2012 16:23:45

VBASE016.VDF : 7.11.26.241 142336 Bytes 04/04/2012 16:44:05

VBASE017.VDF : 7.11.27.41 247808 Bytes 08/04/2012 16:23:43

VBASE018.VDF : 7.11.27.107 161280 Bytes 12/04/2012 16:23:51

VBASE019.VDF : 7.11.27.159 148992 Bytes 13/04/2012 14:36:45

VBASE020.VDF : 7.11.27.201 207360 Bytes 17/04/2012 16:45:50

VBASE021.VDF : 7.11.28.3 237568 Bytes 19/04/2012 16:46:21

VBASE022.VDF : 7.11.28.49 193536 Bytes 20/04/2012 19:58:40

VBASE023.VDF : 7.11.28.50 2048 Bytes 20/04/2012 19:58:40

VBASE024.VDF : 7.11.28.51 2048 Bytes 20/04/2012 19:58:40

VBASE025.VDF : 7.11.28.52 2048 Bytes 20/04/2012 19:58:41

VBASE026.VDF : 7.11.28.53 2048 Bytes 20/04/2012 19:58:41

VBASE027.VDF : 7.11.28.54 2048 Bytes 20/04/2012 19:58:41

VBASE028.VDF : 7.11.28.55 2048 Bytes 20/04/2012 19:58:41

VBASE029.VDF : 7.11.28.56 2048 Bytes 20/04/2012 19:58:41

VBASE030.VDF : 7.11.28.57 2048 Bytes 20/04/2012 19:58:41

VBASE031.VDF : 7.11.28.58 2048 Bytes 20/04/2012 19:58:41

Version du moteur : 8.2.10.52

AEVDF.DLL : 8.1.2.2 106868 Bytes 16/12/2011 08:50:43

AESCRIPT.DLL : 8.1.4.17 446842 Bytes 19/04/2012 16:51:08

AESCN.DLL : 8.1.8.2 131444 Bytes 27/01/2012 18:43:12

AESBX.DLL : 8.2.5.5 606579 Bytes 12/03/2012 16:30:22

AERDL.DLL : 8.1.9.15 639348 Bytes 14/12/2011 23:34:59

AEPACK.DLL : 8.2.16.9 807287 Bytes 30/03/2012 16:27:27

AEOFFICE.DLL : 8.1.2.27 201082 Bytes 04/04/2012 16:48:01

AEHEUR.DLL : 8.1.4.19 4673910 Bytes 19/04/2012 16:50:54

AEHELP.DLL : 8.1.19.1 254327 Bytes 02/04/2012 19:41:48

AEGEN.DLL : 8.1.5.27 422261 Bytes 19/04/2012 16:46:44

AEEXP.DLL : 8.1.0.29 82293 Bytes 13/04/2012 16:26:04

AEEMU.DLL : 8.1.3.0 393589 Bytes 14/12/2011 23:34:55

AECORE.DLL : 8.1.25.6 201078 Bytes 15/03/2012 18:52:29

AEBB.DLL : 8.1.1.0 53618 Bytes 14/12/2011 23:34:55

AVWINLL.DLL : 12.1.0.17 27344 Bytes 16/12/2011 08:50:47

AVPREF.DLL : 12.1.0.17 51920 Bytes 16/12/2011 08:50:45

AVREP.DLL : 12.1.0.17 179920 Bytes 16/12/2011 08:50:45

AVARKT.DLL : 12.1.0.23 209360 Bytes 15/02/2012 21:03:23

AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 16/12/2011 08:50:44

SQLITE3.DLL : 3.7.0.0 398288 Bytes 16/12/2011 08:50:55

AVSMTP.DLL : 12.1.0.17 63440 Bytes 16/12/2011 08:50:46

NETNT.DLL : 12.1.0.17 17104 Bytes 16/12/2011 08:50:53

RCIMAGE.DLL : 12.1.0.13 4449488 Bytes 14/12/2011 23:36:07

RCTEXT.DLL : 12.1.0.16 99792 Bytes 14/12/2011 23:36:08

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp

Documentation.................................: par défaut

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:, W:,

Recherche dans les programmes actifs..........: marche

Programmes en cours étendus...................: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: marche

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: avancé

Catégories de dangers divergentes.............: +JOKE,+PCK,+PFS,+SPR,

 

Début de la recherche : vendredi 20 avril 2012 23:45

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD2

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'W:\'

[iNFO] Aucun virus trouvé !

 

La recherche d'objets cachés commence.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

Fil caché

[REMARQUE] Un fil système n'est pas visible.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '82' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '80' module(s) sont contrôlés

Processus de recherche 'opera.exe' - '103' module(s) sont contrôlés

Processus de recherche 'mbamservice.exe' - '43' module(s) sont contrôlés

Processus de recherche 'openvpn.exe' - '42' module(s) sont contrôlés

Processus de recherche 'ConnGuardManager.exe' - '22' module(s) sont contrôlés

Processus de recherche 'mbamgui.exe' - '50' module(s) sont contrôlés

Processus de recherche 'razerhid.exe' - '41' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '29' module(s) sont contrôlés

Processus de recherche 'razerofa.exe' - '21' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '71' module(s) sont contrôlés

Processus de recherche 'razerhid.exe' - '41' module(s) sont contrôlés

Processus de recherche 'DTLite.exe' - '65' module(s) sont contrôlés

Processus de recherche 'VPNTunnel.exe' - '81' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '71' module(s) sont contrôlés

Processus de recherche 'armsvc.exe' - '27' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '44' module(s) sont contrôlés

Processus de recherche 'CTAudSvc.exe' - '33' module(s) sont contrôlés

 

Début du contrôle des fichiers système :

Signé -> 'C:\Windows\system32\svchost.exe'

Signé -> 'C:\Windows\system32\winlogon.exe'

Signé -> 'C:\Windows\explorer.exe'

Signé -> 'C:\Windows\system32\smss.exe'

Signé -> 'C:\Windows\system32\wininet.DLL'

Signé -> 'C:\Windows\system32\wsock32.DLL'

Signé -> 'C:\Windows\system32\ws2_32.DLL'

Signé -> 'C:\Windows\system32\services.exe'

Signé -> 'C:\Windows\system32\lsass.exe'

Signé -> 'C:\Windows\system32\csrss.exe'

Signé -> 'C:\Windows\system32\drivers\kbdclass.sys'

Signé -> 'C:\Windows\system32\spoolsv.exe'

Signé -> 'C:\Windows\system32\alg.exe'

Signé -> 'C:\Windows\system32\wuauclt.exe'

Signé -> 'C:\Windows\system32\advapi32.DLL'

Signé -> 'C:\Windows\system32\user32.DLL'

Signé -> 'C:\Windows\system32\gdi32.DLL'

Signé -> 'C:\Windows\system32\kernel32.DLL'

Signé -> 'C:\Windows\system32\ntdll.DLL'

Signé -> 'C:\Windows\system32\ntoskrnl.exe'

Signé -> 'C:\Windows\system32\ctfmon.exe'

Les fichiers système ont été contrôlés ('21' fichiers)

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '985' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\' <De La Bierre>

Recherche débutant dans 'D:\' <Et Vite>

Recherche débutant dans 'W:\' <sinon ça va chier>

 

 

Fin de la recherche : samedi 21 avril 2012 01:23

Temps nécessaire: 1:37:59 Heure(s)

 

La recherche a été effectuée intégralement

 

31112 Les répertoires ont été contrôlés

434900 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

0 Impossible de scanner des fichiers

434900 Fichiers non infectés

4331 Les archives ont été contrôlées

0 Avertissements

64 Consignes

670238 Des objets ont été contrôlés lors du Rootkitscan

64 Des objets cachés ont été trouvés

 

=====================================================================

 

Malwarebytes ne m'a rien détecté de particuliers (j'ai l'habitude de le lancer une fois par jours), j'ai fermé le rapport comme un gland.... j'édit pour le poster dès que c'est ok.

 

edit : MABM en cours, et là il me détecte une anomalie, je post le rapport une fois l'analyse terminé.

 

 

============================

Rapport MABM

 

Version de la base de données: v2012.04.20.07

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 8.0.7601.17514

Sydney Govou :: LEPCDESYD [administrateur]

 

Protection: Activé

 

21/04/2012 01:44:43

mbam-log-2012-04-21 (01-44-43).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 365291

Temps écoulé: 1 heure(s), 7 minute(s), 49 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

C:\Users\Sydney Govou\AppData\Local\Opera\Opera\temporary_downloads\hijackthis_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

 

====================================

 

 

 

Dans les processus je n'ai rien remarqué de suspect à priori.

svchost.exe me semble utiliser beaucoup de mémoire, via ProcessExplorer je n'ai rien détecté d'illégitime à priori.... bon pour le coup je suis complètement autodidacte et loin d'avoir une maitrise absolu de l'outil.

 

 

Il me semble que ma machine est infecté, j'arrive pas à expliquer autrement cette utilisation de minimum 40/50% du proc là où il y a quelques jours il était à 5/10%

 

Merci pour le coup de main.

 

Bonne soirée

Modifié le 23 avril 2012 par kholl

[bernard53]

Bonjour

Vois tu dans Process Explorer ce qui te prends de la ressource

 

 

Trouve dans cette colonne le processus en cause.

 

 

Et donne-moi le nom s.t.p

[kholl]

Salut,

 

Alors 3 choses prennent beaucoup de ressources :

 

- ConnGuardManager.exe, prend environ 48%

- System Idle Process, environ 30/35%. Quand je regarde plus en détail je tombe sur "ntoskml.exe!KiCpuld+0x6a0"

- et enfin mon navigateur internet, environ 10/15%

 

Souhaites-tu une capture d'écran pour avoir plus de détail ?

 

Avira me recommande de faire ça http://forum.avira.com/wbb/index.php?page=Thread&threadID=92847, penses-tu que je me lance directement ?

Modifié le 22 avril 2012 par kholl

[bernard53]

onnGuardManager.exe semble venir de "VPNTunnel" qui sera surfer anonymement.

As tu installé ce logiciel.

 

Pour System Idle Process sait ceci.

System Idle Process

Ce processus est un threads unique qui fonctionne sur chaque processeur, sa seule fonction est d'occuper le processeur lorsque le système ne fait tourner aucune autre thread.

 

plus d'info .

Thread (informatique) - Wikipédia

Normal que cela prends de la puissance.

Désactive ses 2 processus et voit s'ils sont bien en cause.

[kholl]

Oui j'utilise bien ce vpn, mais jusqu'a très récement ce processus ne prenait pas autant de ressources, loin de là même.

Une fois ce process suspendu le processeur est utilisé à nouveau "normalement", il repasse de 50% + à environ 10%.

Penses-tu que ce process puisse être "infecté" ?

 

System Idle Process je regarde ça de suite.

Edit : pour SystemIdleProcess je ne savais pas du tout, merci de l'info.

Modifié le 22 avril 2012 par kholl

[bernard53]

non je ne crois pas que ce processus soit infecté, possible tout simplement qu'une mise à jour de ce logiciel ou même de Windows est pu modifié certains critères.

Possible qu'une simple réinstallation résoudrais le soucis.

[kholl]

Ok je test une réinstallation dans l'après-midi.

Concernant les objets cachés détectés par Avira, vendredi il m'en détectant 64, samedi 81....

Avira me "demande" d'utiliser un cd de secours [Rescue CD] Tutoriel pour le Rescue CD - Tipps und Tricks - Avira Support Forum ça te semble utile ?

 

Merci pour l'aide

[bernard53]

Concernant les objets cachés détectés par Avira, vendredi il m'en détectant 64, samedi 81....

 

Non ne fait rien réponse du support d'Avira.

Contrôle avec Avira sous Windows 7 64bit - Viren und andere Sicherheitsrisiken - Avira Support Forum

 

Depuis le dernier "Microsoft Patch Tuesday" (deuxième mardi de chaque mois, jour où Microsoft met à disposition de ses clients les derniers patchs de sécurité pour ses logiciels), un contrôle avec Avira sous Windows 7 64bit révèle 64 objets cachées et propose l'utilisation CD de secours.

Renoncez dans ces circonstances à l'utilisation du CD de secours et continuez le contrôle jusqu'à son terme.

Si le rapport ne met en évidence aucun virus ou programmes indésirables trouvés, tout est OK.

 

Avira travaille actuellement sur un correctif de sorte de supprimer du rapport de contrôle ces objets cachés appartenant exclusivement à Windows.

[kholl]

Oulà merci beaucoup de l'info, j'suis passé complètment à coté.... pourtant j'ai recherché avant de poster....

Merci pour l'aide, je regarde pour cette MAJ du vpn.

Là le proc tourne "normalement", à 10% environ depuis que le processus est suspendu.

 

Bonne journée

[kholl]

Bonjour,

 

Suite à une réinstallaltion du vpn l'utilisation du processeur est redevenue "normale".

Comme tu l'avais soupçonné il y avait bien une couille avec une maj et non un problème de virus, le message d'avira m'avait conduit sur une mauvaise piste....

 

Je vais être particulièrement attentif à l'utilisation du proc pendant les prochains jours.

 

Merci de ton aide.

Modifié le 23 avril 2012 par kholl