Votre question

Pubs intempestives & Utilisation massive de RAM/UC par svchost.exe

Tags :
  • ram
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Mai 2010 21:43:26

Bonsoir à tous,

Un ami m'a demandé de jeter un coup d'oeil sur son pc, mais vu mes maigres connaissances, j'ai pas trouvé grand chose, je me tourne donc vers vous.
Il a trois soucis, je me suis dit qu'ils étaient éventuellement connectés :
1) Des pages de pubs qui s'ouvrent de manière intempestives (vers zoosk.com, et bullfist.com principalement)
2) Un des svchost.exe (sous la session system) qui utilise l'UC de manière excessive, et bouffe la RAM (50% utilisation UC, 1Go de ram ...)
3) Le thème change "tout seul" pour un thème 98 et revient sur un thème XP quelques minutes plus tard.

J'ai fait un scan avec a-squared, rien trouvé non plus, si ce n'est quelques tracking cookies (cache et cookies supprimés, au passage)
J'ai vite jeté un coup d'oeil pour le second souci, c'est le processus avec les services type mise à jour automatique, tout ça. [Qui a d'ailleurs pris un coup de task kill sans que je fasse quoi que ce soit ...]

Bref, voici le log HiJackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:18:22, on 09/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Razer\Diamondback 3G\razerhid.exe
C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\program files\steam\steam.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
D:\Program Files\Daemon Tools\DAEMON Tools Lite\DTLite.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Program Files\asquared\a2service.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\DeviceVM\Browser Configuration Utility\BCUService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Razer\Diamondback 3G\razertra.exe
C:\Program Files\Razer\Diamondback 3G\razerofa.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
D:\Program Files\HJT\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CStat - {DD92DE22-ED91-4560-B788-DEE2B26612E6} - C:\Program Files\DeviceVM\Browser Configuration Utility\IEHelper.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback 3G\razerhid.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "d:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Program Files\Daemon Tools\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/Gam...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab569...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Program Files\asquared\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Browser Configuration Utility Service (BCUService) - DeviceVM, Inc. - C:\Program Files\DeviceVM\Browser Configuration Utility\BCUService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

Merci d'avance.

Autres pages sur : pubs intempestives amp utilisation massive ram svchost exe

9 Mai 2010 23:17:36

Yop!

Rien de visible, on va faire un scan plus poussé!

/!\ Pour le bon déroulement de la désinfection:
  • N'ouvre pas le même sujet sur des forums différents, c'est une perte de temps pour tout le monde!
  • Évites les manipulations hasardeuses avec ton PC, mieux vaut demander!
  • Prends le temps de lire corectement et de comprendre l'ensemble des procédures qui te seront demandées.
  • Suis à la lettre chaque procédure qui te sera fournie.
  • Si tu as une quelconque question ou un quelconque problème, n'hésite pas à me demander.
  • Dans un souci de lisibilité du sujet, merci de bien vouloir héberger tous les rapports ici, et de poster les liens dans la discussion. :clin: 

    Télécharge OTL(de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
  • (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).
  • Héberge les rapports, puis donne leurs liens.
    10 Mai 2010 18:15:38

    Salut,

    Tout d'abord merci de ta réponse, et aussi, désolé, j'avais pas pensé à host le rapport sur un site.

    Voici donc les logs d'OTL :

    OTL.txt
    Extras.txt
    10 Mai 2010 18:26:51

    Pas de soucis. :o 

    Hum... ya rien qui est particulièrement visible!

    Télécharger sur le bureau Malwarebyte's Anti-Malware

  • Double-clic sur « mbam-setup » pour lancer l'installation.
  • Installer simplement sans rien modifier.
  • Quand le programme lancé ==> onglet « Mise à jour » cliquer sur ==> « Recherche de mise à jour. »
  • Onglet « Recherche » ==> cocher « Exécuter un examen complet ».
  • Clic « Rechercher »,
  • Cocher tous les disque dur,
  • Clic « Lancer l'examen ».
  • En fin de scan , si infection trouvée,
  • ==> Clic « Afficher résultat ».
  • Fermer vos applications en cours,
  • Vérifier si tout est coché et clic « Supprimer la sélection ».

  • Un rapport s'ouvre l'héberger et donner son lien.
    10 Mai 2010 19:58:32

    Ca fait 5 jours, donc moins d'un mois, si c'est ça ta question. (:
    10 Mai 2010 19:59:55

    Depuis quand les soucis sont apparues?
    10 Mai 2010 20:06:12

    Ok, on va essayé un truc:

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Copies et colles le contenu ci dessous dans la partie inférieur d'OTL: Personnalisation

    :Files
    C:\WINDOWS\System32\mk4vc60.dll
    :Commands
    [emptytemp]
    [Reboot]


  • Enfin, clique sur le bouton Correction. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).
  • Copie/colle ensuite les rapports.

    ===

    Redémarre et dis si encore soucis.
    11 Mai 2010 00:00:29

    Bon, et bien il semblerait que les problèmes persistent. scvhost présente toujours le même souci, et il en va de même pour les popups.
    Par contre pour ce qui est du thème qui changeait tout seul, je l'ai pas encore vu se présenter depuis le début des manips.

    Sauf erreur de ma part, le seul log que j'aie obtenu cette fois, c'était celui-ci

    Accessoirement, désolé pour le thumbs down, j'ai fait un clic foireux. (:
    11 Mai 2010 00:05:28

    Ok, on va vérifier qu'il n'y ai pas une infection « plus profonde ».
    Pas grave pour le thumbs down. :o 

    Télécharge sur le bureau « Gmer »
  • Se rendre sur la page et choisir Download EXE.
  • Lance le.
  • Note: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
  • Clic sur l'onglet Rootkit/Malware,
  • À droite => coche toutes les cases.
  • Clique sur scan.
  • Lorsque le scan est terminé, clique sur copy,
  • Le coller dans la réponse.
    12 Mai 2010 22:47:05

    Salut,

    J'ai un léger souci avec Gmer, il fait systématiquement crash mon pc, ou plante pendant l'analyse, c'est pas faute d'avoir persévéré, pourtant, ça fait deux jours que j'ai l'espoir que ça marche bien. :D 
    Une alternative à Gmer existe ? Des fois que celle-ci marche mieux ... (:
    13 Mai 2010 00:44:33

    Tu as essayé en mode sans échec?
    ps: faire la méthode avec f8, ne pas faire la seconde avec la case SAFEBOOT
    14 Mai 2010 21:23:00

    Salut,

    Oui, j'ai essayé en mode sans échec, à plusieurs reprises, il a quand même planté.
    Donc, pas d'autre alternative ? =/
    14 Mai 2010 21:39:47

    Si, on va essayé un fix qui "débloque" les pilotes qui font planter gmer ;) 

    Télécharge Defogger et lance le.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparait clique sur Disable
  • Redémarre le PC si demandé.

    =====

    Si ça ne marche pas en normal après cette manip, essai en sans échec (juste une fois, pas la peine de re-essayer 20 fois si tu as un blue screen. :o )
    14 Mai 2010 21:41:26

    Ben en fait c'est pas des BSOD, c'est juste que mon pc redémarre (sans écran bleu), ou alors GMER ne répond simplement plus.
    Bref, merci, je vais essayer dès maintenant.
    19 Mai 2010 13:07:46

    Si en plus, maintenant je me mets à perdre ma connexion internet ...
    Bref, même avec defogger, GMER plante toujours, même en mode sans échec. >.<
    19 Mai 2010 17:45:24

    Ok, on passe à autre chose!

  • Désactive l'antivirus.

    Télécharger et enregistrer sur le bureau « Combofix »

  • Double-clic sur Combofix.
  • Si invitation à télécharger et installer la console de récupération, l'accepter.
  • La recherche va ensuite se lancer,
  • Attendre la fermeture de l’outil ( 5 à 10 mn),
  • Un rapport dans C:\Combofix.txt: héberge le et donne le lien.
    22 Mai 2010 13:03:15

    Salut,

    Voici le log de combofix

    Désolé si je mets du temps à répondre, je manque de temps en ce moment.
    Quoi qu'il en soit, merci encore de m'accorder le tien. =P
    22 Mai 2010 13:32:50

    Pas de problème! ;) 

    Toujours le même problème?
    24 Mai 2010 13:17:10

    Salut,

    Il semblerait que svchost.exe n'utilise plus autant de ressources. Par contre pour ce qui est des onglets / pop-ups qui s'ouvrent de manière intempestive, ça persiste.
    24 Mai 2010 13:36:24

    C'est sur un site en particulier, ou tous les sites les pop-up?
    25 Mai 2010 00:50:21

    Tous les sites. En fait, même quand j'suis pas actif sur mon navigateur (j'entends par là qu'il est ouvert, mais que je m'en sers pas)
    25 Mai 2010 07:56:51

    Ok, on va faire autrement, tu dois avoir encore un driver patché, mais comme gmer ne fonctionne pas, faut contourner le problème! ;) 

    Ce fichier est assez volumineux, on utilisera donc votre lecteur CD/DVD et un CD vierge sur votre machine.
    Un Périphérique USB serait pratique également.


    Télécharger et installer IsoBurner afin de graver OTLPE sur un CD.

    Puis télécharger OTLPE.

  • Installer IsoBurner
  • Cliquer sur la case en haut a doite et suivre le chemin afin de sélectionner OTLPE.iso
  • Clic BURN

    Note : Votre CD gravé, vous devez maintenant redémarrer votre machine sur le lecteur CDROM
    Pour se faire je vous invite sur ce lien : Booter sur un CD.

  • Une fois le CD lancé Windows se charge vous arrivez sur le bureau REATOGO-X-PE.
  • Double cliquer sur OTLPE.
  • Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliquez sur YES,
  • Une seconde : Do you wish to load remote user profile(s) for scanning ; Cliquez sur YES,
  • Veillez à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK.

    OTL se lance.

  • Copies et colles le contenu ci dessous dans la partie inférieur d'OTL: Custom Scans/Files

  • netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    cdrom.sys
    disk.sys
    ndis.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT

  • Cliquez sur Run Scan pour démarrer le scanner, cela peut prendre quelques minutes.
  • Un fois fini le rapport s'ouvre, utilisez l'icone d'internet explorer pour copier coller son contenu dans la réponse.

    Note : si vous n'avez pas de connection Internet, sauvegardez le rapport sur un périphérique USB
    18 Juin 2010 09:46:56

    Salut,

    Désolé si en quelque sorte c'est un revival. Le disque dur du PC est mort depuis le temps, et donc, le souci est en "résolu".
    En tout cas merci beaucoup pour ton aide. (:
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS