[résolu] uc utilisée à 100 %

sophie2 · le 27 mars 2005

Bonsoir à tous, ayant passé la journée entière à essayer de résoudre un problème et ne voyant pas de solutions, je me décide à demander de l'aide.

Mon PC ramait anormalement ce matin, je lance la prévention éventuelle à savoir ad-aware qui me trouve un keylogger (issu d'une backdoor ?), spybot & destroy qui ne trouve rien et enfin un petit coup d'antivirus en ligne qui me dégote w32/GAOBOT.DAQ.worm a l'origine de bien des problèmes...

Je nettoye donc tout ça, redémarre et vérifie la base de registre au cas où il resterait des traces. Aparremment pas de traces mais un PC toujours aussi lent.

Après quelques recherches je m'aperçois que 100% de mon UC est utilisée, c'est donc là que vient le problème.

J'ai lu que le ver GAOBOT trafiquait le fichier Hosts mais je l'ai édité et je n'ai rien vu d'anormal.

Je voulais tenter une restauration de la base de registre mais je n'ai pas effectué de sauvegardes avant l'"accident" et scanreg /restore ne fonctionne pas sous XP. De + je n'arrive même plus à lancer d'antivirus que ce soit online ou non pour voir si il reste des résidus de cochonneries, ça prend un temps fou et ça n'avance pas (toujours à 0% en 1 heure, pas très rapide donc).

Je commence à avoir peur de faire n'importe quoi et mon ordi devient de plus en plus lent alors si quelqu'un à une solution.

Ci dessous le log d'hijackthis, si une âme charitable pouvait y jeter un oeil. Merci à lui.

Logfile of HijackThis v1.97.7

Scan saved at 04:52:52, on 27/03/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\xpjava.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [Configuration Windows] rundl32.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MOD] C:\Program Files\Microangelo\muamgr.exe

O4 - HKLM\..\Run: [Compaq Service Drivers 32] compq32.exe

O4 - HKLM\..\Run: [FireWire Service] nvscv32.exe

O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe

O4 - HKLM\..\RunServices: [Configuration Windows] rundl32.exe

O4 - HKLM\..\RunServices: [Compaq Service Drivers 32] compq32.exe

O4 - HKLM\..\RunServices: [FireWire Service] nvscv32.exe

O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe

O4 - HKCU\..\RunServices: [Runtime Process] C:\WINDOWS\Csrss.exe

O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe

O4 - Startup: hotpop.lnk = C:\Program Files\Hotmail Popper\hotpop.exe

O4 - Startup: Thundertray.lnk = C:\unzipped\thunderbird-0.5-win32\thunderbird\thundertray.exe

O4 - Startup: YzDock.lnk = C:\Program Files\YzDock\YzDock.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Tous Télécharger par ReGet Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm

O8 - Extra context menu item: Télécharger avec Re&Get Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_Link.htm

O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)

O9 - Extra button: Recherche (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab

O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB

O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/31dcf0a472794e431718/...RdxIE601_fr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1111869138733

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {9A19966F-AE0E-4699-8CCE-9B6F5F1C352C} - http://kr.pristontale.com/nprotect/keycrypt/npkxsite.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls.../20/SassCln.CAB

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f002.mail.caramail.lycos.fr/app/upl...ileUploader.cab

O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab

O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup...er/imloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://misnetwork.jexiste.fr/mischat45.cab

Sinon tant pis, bonne nuit et bon week-end à tous

Modifié le 29 mars 2005 par sophie2

Klendack · le 27 mars 2005

salut, commence par mettre à jour HijackThis et refaire un scan

sophie2 · le 27 mars 2005

Logfile of HijackThis v1.99.1

Scan saved at 08:53:25, on 27/03/2005