Sysfader fait l'invasion de mon Explorateur !

[loicl]

Salut,

 

depuis deux semaines quand j'ouvre mon poste de travail, parfois il ne repond plus, mon UC est utilisé à 100%, je tue le processus et c'est OK mais pour peu de temps.

Parfois quand mon UC est 100%, je vois apparaitre rapidement dans le gestionnaire de tache, onglet application un prg : Sysfader.exe

J'ai scan mon PC avec Mcafee, adware et spybot : RIEN trouvé

Donc j'ai installé HijackThis conseillé sur zeb, je pige pas vraiment tout ce qu'il dit le rapport, quelqu'un peut-il me dire s'il y a un malware qui traine dans mon registre:

 

Logfile of HijackThis v1.99.1

Scan saved at 13:05:08, on 11/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\rmctrl.exe

E:\Network Associates\VirusScan\SHSTAT.EXE

E:\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

E:\Network Associates\Common Framework\FrameworkService.exe

E:\Network Associates\VirusScan\Mcshield.exe

E:\Network Associates\VirusScan\VsTskMgr.exe

c:\mysql\bin\mysqld-nt.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [shStatEXE] "E:\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "E:\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O17 - HKLM\System\CCS\Services\Tcpip\..\{4A16D9D6-D1C4-4F89-8437-D7A0449208AB}: NameServer = 192.168.254.254

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - E:\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - E:\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - E:\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: MySQL - Unknown owner - c:\mysql\bin\mysqld-nt.exe

 

merci pour votre aide

[Jack_Burton]

Bonjour loicl

 

Ton rapport est propre je ne vois rien d infectueux dessus. Mais un rapport propre ne signifie pas obligatoirement systeme non infecté.

 

Tu peux fixer cette ligne :

 

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) <=== lié a Norton Antivirus, or il n est plus installé

 

Concernant le processus "Sysfader.exe" il s agit d un processus de carte graphique Nvidia (source), donc rien d infectueux de sa part. Cependant, il est étrange que tu es un tel processus puisque tu as apparemment une carte graphique ATI comme l indique ton rapport :

 

C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

Modifié le 11 septembre 2005 par Jack_Burton

[BipBip07]

Bonjour,

 

J'ai trouvé ceci regarde si cela t'apporte de l'aide...

Tu vas sur démarrer/panneau de congig/affichage/apparence/effets et tu décoche les 4 premières boites.

(si tu as un affichage lcd, essaie de réactiver "clear type", ca devrait marcher qd même et l'affichage sera meilleur).

A+

[loicl]

Bip-bip, je ne comprends pas le rapport entre mon pb et ce que tu me propose, si tu peu m'en dire +, merci

 

Pour Jack : d'bord merci pour ton aide, j'ai fixer la ligne que tu m'a indiqué, j'ai tjs le pb. Mon explorateur bouffe 100% de la CPU, après l'avoir fermé, la CPU est tjs utilisée à fond, il me faut terminer le processus pour retrouver de la CPU.

 

merci

 

Loïc

[loicl]

J'ai trouvé la cause du pb mais je ne parviens pas à rétablir:

 

j'ai téléchargé un fichier de emule et c'est lorsque je vais sur ce répertoire incoming que ma CPU est utilisé à 100%

Sur les autres repertoires c'est OK

 

le pb est que je ne parviens pas à supprimer ce fichier, j'ai un msg qui dit :

"impossible de supprimer "nomdufichier", cette ressource est utilisé par une autre personne ou un autre programme"

 

Comment puis-je faire????

 

Merci

 

Loïc

[BipBip07]

Télécharger:

KillBox

 

Lancer killbox.exe

Cocher le bouton"Delete on Reboot "

naviguer jusqu'a la ligne du fichier incriminé

Cliquer sur la croix rouge

« will be Deleted on Next Reboot » Répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

Le PC va redémarrer et supprimer les fichiers de la liste.

 

A+

[loicl]

Merci Bip-Bip, killbox a supprimer ce maudit fichier et mon PC sa CPU

Je conserve ce petit soft sympa

 

A+

Loïc