Processus invisible

[korentin]

Bonjour,

J'ai remarqué hier que mon ordi semblait ralenti alors que rien ne tournait. Aïe virus me suis je dis et de lancer toute la batterie de "contre-mesures" habituellement évoquée ici (désactiver points de restau., vider cache, scan en ligne, a², ad-aware...) => rien.

Pourtant, dans le gestionnaire des taches, le % d'UC tourne autour de 20 voire 30% au lieu de 4 ou 5 habituellement. Ce qui est étonant, c'est que la somme des % des processus actifs n'est pas cohérente avec le % utilisé total qui figure en bas, comme s'il y avait un processus (très consommateur qui plus est) qui n'était pas affiché.

Du coup, j'ai passé un coup de HijackThis qui ne détecte que 2ou3 potentiellement méchants facilement identifiables. Rien non plus parmi les services ds msconfig.

 

la seule chose inhabituelle que je me rappelle avoir fait peu avant est d'avoir lancé deux défragmentations consécutives mais je ne vois pas ce que ça pourrait avoir à y voir.

 

Qq'un voit il ce que je peux essayer de plus? Je commence à penser à un reformatage même si c'est un aveu de faiblesse.

[PyReX]

salut,

essaye le logiciel killprocess qui voit tous les processus, et permet de tous les fermer, c'est le getionnaire des taches en mieux..

[korentin]

Je viens d'essayer Killprocess. Il annonce exactement les mêmes processus (identifiés et semblent ok) que le gestionnaire de tâches.

J'ai toujours 2 voire 3 processus qui occupent chacun qq % d'UC et un total supérieur à 20.

Qq'un a une autre idée?

[megataupe]

Salut. Tu peux essayer X-Ray à télécharger ici :

 

http://www.x-raypc.com/download.html

 

Tu l'installes puis, tu coches les 2 cases en haut à droite et tu lances le scan online. Ensuite, tu colles le log que tu auras sauvegardé au format HJT en vérifiant que les MD5 sont bien indiqués.

[korentin]

Aussitôt lu, aussitôt fait, voici le log:

Logfile of X-RayPc Build 38285 (Installed 1103049795)

Scan saved at 14/12/2004 18:44:05

 

Registry Settings:

IE Start Page (User) : http://fr.yahoo.com/

IE Start Page (Global) : http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home

IE Default Page : http://www.unika.com

IE Search Page (User) : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

IE Search Page (Global) : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

IE Default Search : http://www.unika.com

HOSTS Directory : %SystemRoot%\System32\drivers\etc

 

Running processes:

C:\WINDOWS\system32\services.exe (108544 63dcde1a0d86eeb8924d6738ff616ead)

C:\WINDOWS\system32\lsass.exe (13312 259af82a0932eea4f316f92db94707b6)

C:\WINDOWS\System32\Ati2evxx.exe (397312 aa75c4649d5aaae17320d1bc78bf80e2)

C:\WINDOWS\system32\svchost.exe (14336 2979b03d5382a602623c0535b16ab9c0)

C:\WINDOWS\System32\svchost.exe (14336 2979b03d5382a602623c0535b16ab9c0)

C:\WINDOWS\system32\spoolsv.exe (57856 df9fc62ad51cb082b0ae371919a232cb)

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (53248 84ff20f4a9e56507a719f41c6370d2ad)

C:\Program Files\Alwil Software\Avast4\ashServ.exe (86064 d2c1c5a59284846362fec113b6b16415)

C:\PROGRA~1\Agnitum\outpost.exe (88064 f3eb852c9b65f0e959014bab3df522cf)

C:\WINDOWS\System32\svchost.exe (14336 2979b03d5382a602623c0535b16ab9c0)

C:\WINDOWS\system32\Ati2evxx.exe (397312 aa75c4649d5aaae17320d1bc78bf80e2)

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe (88363 bec5e990e477ddf60aadd8f180ee9f4c)

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe (49152 919ce09d182d8aaafcfbc4c40493961d)

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe (40960 7d750887e39563620bc5f057295a501d)

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe (98352 8da93b410d163cf5b93a3aa262dd458a)

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (233520 8f5439b8712536808b38624da507998b)

C:\Program Files\Internet Explorer\iexplore.exe (93184 385d1644e676c96eb07848ada63e37fa)

C:\WINDOWS\system32\wuauclt.exe (115480 188d26da89c11837362b848271c735bb)

C:\Program Files\WinRAR\WinRAR.exe (835584 e67b9bb61aa1c2ae8cb557b38e81277b)

C:\DOCUME~1\YVES&G~1\LOCALS~1\Temp\Rar$EX00.531\x-raypc.exe (332024 78dbd24a52b7812b2a855c741760b372)

 

O2 - BHO: (AcroIEHlprObj Class) - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (37808 8394abfc1be196a62c9f532511936df7)

O2 - BHO: (no name) - {53707962-6f74-2d53-2644-206d7942484f} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (744960 abf5ba518c6a5ed104496ff42d19ad88)

O4 - HKLM\..\Run: [Cmaudio]

O4 - HKLM\..\Run: [AGRSMMSG] C:\WINDOWS\AGRSMMSG.exe (88363 bec5e990e477ddf60aadd8f180ee9f4c)

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe (406016 39d31d333c39caa9a13b738804b43284)

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe (49152 919ce09d182d8aaafcfbc4c40493961d)

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe (172032 efa425c96f30751fcd79d7787fe4b075)

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe (40960 7d750887e39563620bc5f057295a501d)

O4 - HKLM\..\Run: [QuickTime Task] C:\Program Files\QuickTime\qttask.exe (98304 76a3a30b58405c2c6d833895253a51a9)

O4 - HKLM\..\Run: [AdslTaskBar] C:\WINDOWS\system32\stmctrl.dll (151552 9f67cfaec8a9fc94fa065fb3db13b780)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (155648 3e4c03cefad8de135263236b61a49c90)

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe (188416 3257a2a9e9943de93ee5438cb2e77359)

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe (65536 66fa2cc087dfa905c22a7f83ff59c7dc)

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\outpost.exe (88064 f3eb852c9b65f0e959014bab3df522cf)

O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe (57344 62a1fa9ed685ce0bff4a045491382280)

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe (98352 8da93b410d163cf5b93a3aa262dd458a)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [PostBootReminder] C:\WINDOWS\system32\SHELL32.dll (8440320 6643dd881f306fc09821f184bfa51d82)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [CDBurn] C:\WINDOWS\system32\SHELL32.dll (8440320 6643dd881f306fc09821f184bfa51d82)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [WebCheck] C:\WINDOWS\System32\webcheck.dll (281600 7186d890a8b72bf7cfd424b45d70934d)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [sysTray] C:\WINDOWS\System32\stobject.dll (122368 5b8837602f19ca97e9f6c003ace7f43d)

O16 - DPF: (DirectAnimation Java Classes)-

O16 - DPF: (Microsoft XML Parser for Java)-

O16 - DPF: (ppctlcab)- http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {166b1bca-3f9c-11cf-8075-444553540000} (Shockwave ActiveX Control)- http://download.macromedia.com/pub/shockwa...director/sw.cab - C:\WINDOWS\system32\Macromed\Director\SwDir.dll (54480 408f53722d9c1280bf4edd70341ea7f2)

O16 - DPF: {2fc9a21e-2069-4e47-8235-36318989db13} (PPSDKActiveXScanner.MainScreen)- http://www.pestscan.com/scanner/axscanner.cab - C:\WINDOWS\Downloaded Program Files\PPSDKActiveXScanner.INF (1801 9ec0366fc2b055bf4516c00d797cbce4)

O16 - DPF: {39b0684f-d7bf-4743-b050-fdc3f48f7e3b} (FilePlanet Download Control Class)- http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab - C:\WINDOWS\Downloaded Program Files\FilePlanetDownloadCtrl.dll (294912 e6b0a532dc0404bcb678cb0f6757008d)

O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control)- http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab - C:\WINDOWS\Downloaded Program Files\xscan.inf (1777 488a98a14c022f1e25a8ebcfb67fd8aa)

O16 - DPF: {9a9307a0-7da4-4daf-b042-5009f29e09e1} (ActiveScan Installer Class)- http://www.pandasoftware.com/activescan/as5/asinst.cab - C:\WINDOWS\Downloaded Program Files\asinst.inf (525 970bbf30de2ec1e2b1b7fd4cd67d4fdb)

O16 - DPF: {d27cdb6e-ae6d-11cf-96b8-444553540000} (Shockwave Flash Object)- http://download.macromedia.com/pub/shockwa...ash/swflash.cab - C:\WINDOWS\System32\macromed\flash\Flash.ocx (939224 774babd80803e3a7b69a3775f07f0707)

 

A tout hasard, j'ai essayé de coller une partie du log ds l'analyseur d'Hijackthis qui trouve que ces 4 lignes doivent être supprimées

 

O4 - HKLM\..\ShellServiceObjectDelayLoad: [PostBootReminder] C:\WINDOWS\system32\SHELL32.dll (8440320 6643dd881f306fc09821f184bfa51d82)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [CDBurn] C:\WINDOWS\system32\SHELL32.dll (8440320 6643dd881f306fc09821f184bfa51d82)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [WebCheck] C:\WINDOWS\System32\webcheck.dll (281600 7186d890a8b72bf7cfd424b45d70934d)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [sysTray] C:\WINDOWS\System32\stobject.dll (122368 5b8837602f19ca97e9f6c003ace7f43d)

 

mais comment le faire? (je vais chercher sur zeb)

Modifié le 14 décembre 2004 par korentin

[megataupe]

Bon. J'ai passé ton log sur Hijacthis et il me donne ces 4 entrées comme dangereuses :

 

O4 - HKLM\..\ShellServiceObjectDelayLoad: [PostBootReminder] C:\WINDOWS\system32\SHELL32.dll (8440320 6643dd881f306fc09821f184bfa51d82) Méchant

Méchant Ce programme PostBootReminder a été identifié : LTSMSG. Taux de précision: 15 % (Résultats) Effacer à tout prix !

O4 - HKLM\..\ShellServiceObjectDelayLoad: [CDBurn] C:\WINDOWS\system32\SHELL32.dll (8440320 6643dd881f306fc09821f184bfa51d82) Méchant

Méchant Ce programme CDBurn a été identifié : LTSMSG. Taux de précision: 15 % (Résultats) Effacer à tout prix !

O4 - HKLM\..\ShellServiceObjectDelayLoad: [WebCheck] C:\WINDOWS\System32\webcheck.dll (281600 7186d890a8b72bf7cfd424b45d70934d) Méchant

Méchant Ce programme WebCheck a été identifié : WebCheck. Taux de précision: 75 % (Résultats) Effacer à tout prix !

O4 - HKLM\..\ShellServiceObjectDelayLoad: [sysTray] C:\WINDOWS\System32\stobject.dll (122368 5b8837602f19ca97e9f6c003ace7f43d) Méchant

Méchant Ce programme SysTray a été identifié : Systray driver. Taux de précision: 40 % (Résultats) Effacer à tout prix !

 

Si tu ne les connais pas (surtout les 2 dernières), tu vas chercher Hijacthis ici :

 

http://hijackthis.de/index.php?langselect=french

 

Tu nettoies ton navigateur (cache, historique, dossier Temp, etc..), tu le fermes et tu lances le scan. Ensuite, tu sauvegardes ton log et tu le colles dans la fenêtre du lien indiqué ci-dessus. Tu refais un scan et tu supprimes les entrées en rouge (faire une sauvegarde avant de fixer les entrées).

[korentin]

c'est aussi ce que j'avais trouvé mais lorsque je relance hijackthis, lui ne toruve pas ces 4 entrées et ne me donne aucun "méchant".

je vais essayer en mode sans échec.

[megataupe]

Les 2 derniers sont dans le dossier système32. Tu devrais pouvoir les trouver. Que te dit le scan d'X-Ray comme résultats ?

[korentin]

j'allais te dire qu'il ne me disait pas grand chose (bcp de Unknown et qq good).

mais j'ai vu qu'on pouvait supprimer les processus. Dois je également virer le Shell32.dll (c'est pas un fichier windows ça? Ca me dit qqchose).

Je vais faire comme tu dis et virer les deux fichiers que je peux trouver dans le dossier système32

[megataupe]

Shell32.dll

 

Celui là, il appartient a Windows et il faut le garder. Je pense que c'est le dernier repéré par HJT qui sème la pagaille.