Votre question

mon pc rame : "system" monopolise les ressources ..; [RESOLU]

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Avril 2007 11:25:42

bonjour

Ca y est ! Ca recommence encore! A intervalles variables - quelques semaines ou quelques mois (la dernière fois c'était avant Noel) mon pc se met à ramer. Dans le task manager on voit que c'est system qui monopolise les ressources. En général le phénomène dure un ou deux jours et disparait tout seul (les nettoyages que je pratique frénétiquement, spybot - avast - blacklight etc, semblent n'y être pour rien ..)

quelqu'un pourrait-il m'aiguiller sur une piste d'éradication du problème ... ça me redonnerait le sourire ..merci d'avance et bonne journée à tous.

je poste le rapport de hijackthis .. (à moi ça ne parle pas trop)

Logfile of HijackThis v1.99.1
Scan saved at 10:18:10, on 04/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Executive Software\DiskeeperWorkstation\DKService.exe
C:\WINDOWS\system32\EloSrvce.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\EloDkMon.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\PREPA\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [dijythoa] c:\windows\system32\dijythoa.exe dijythoa
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://safe.tele2.com/inc/accounthelper.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service Elève pcAnywhere (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperWorkstation\DKService.exe
O23 - Service: EloSystemService - Elo Touchsystems, Inc. - C:\WINDOWS\system32\EloSrvce.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

Autres pages sur : rame system monopolise ressources resolu

4 Avril 2007 11:49:26

:hello: 

Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra...
Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patientes jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
4 Avril 2007 12:21:45

voila j'ai fait ce que tu as dit ..
ci-dessous le rapport de blacklight .. je suis horrifié par tout ce qu'il a trouvé ....

Search Navipromo version 1.1.3 commencé le 04/04/2007 à 12:14:41,65

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\PREPA\Bureau
Mise a jour le 31.03.2007 a 08h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***


MessengerSkinner


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\MessengerSkinner trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\PREPA\Application Data ***


...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 04/04/07 at 12:14:45.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ....................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 04/04/07 at 12:18:26 (return code = 0).


*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
C:\WINDOWS\system32\gqavijzxds.exe trouvé !
********
C:\WINDOWS\system32\bkfmrtls.exe trouvé !
C:\WINDOWS\system32\bncbvhc.exe trouvé !
C:\WINDOWS\system32\bwfskog.exe trouvé !
C:\WINDOWS\system32\cfaqhsmzu.exe trouvé !
C:\WINDOWS\system32\fdpxjwlbuc.exe trouvé !
C:\WINDOWS\system32\gfqsmkual.exe trouvé !
C:\WINDOWS\system32\gqavijzxds.exe trouvé !
C:\WINDOWS\system32\hykmpd.exe trouvé !
C:\WINDOWS\system32\ihgzpmwxc.exe trouvé !
C:\WINDOWS\system32\ilrutjcs.exe trouvé !
C:\WINDOWS\system32\ixlssqq.exe trouvé !
C:\WINDOWS\system32\ntxjcuz.exe trouvé !
C:\WINDOWS\system32\sgiazde.exe trouvé !
C:\WINDOWS\system32\suddzlw.exe trouvé !
C:\WINDOWS\system32\vbcspy.exe trouvé !
C:\WINDOWS\system32\vejuqymfg.exe trouvé !
C:\WINDOWS\system32\xjxain.exe trouvé !


*** Analyse Terminé le 04/04/2007 à 12:18:43,76 ***
Contenus similaires
4 Avril 2007 13:09:46

Effectivement, tu as du utiliser Blacklight avant. J'espère que les fichiers que tu as supprimé avec étaient les rootkits car il arrive que Blacklight révèle des fichiers légitimes.

Notes comment démarrer en mode sans échec. Redémarrage avec la touche F8 est vivement recommandé :
https://www.microsoft.com/technet/prodtechnol/windowsse...

Copies ce qui suit dans le blocnote et redémarres en mode sans échec

1)Double clique sur navilog1.bat
Au menu principal, choisis 4 et valides.
Laisses toi guider et réponds aux questions éventuelles
Le fix va te demander de saisir un nom de fichier. Tapes ce qui est en gras en dessous et rien d'autre puis valides.

dijythoa

Le fix te demande de le resaisir une deuxième fois, fais le et valides.
Ton bureau va disparaitre, c'est normal.
Patientes jusqu'au message :
*** Nettoyage Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Sauvegardes le rapport de manière à le retrouver
Refermes le blocnote. Ton bureau va réapparaitre.
Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Celà te fera apparaitre ton bureau

2)Vas dans Démarrer/panneau de configuration/options internet
- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"

Tu les suppriment.

3)Redémarres normalement et poste le rapport cleannavi.txt et un nouveau log hijackthis.
4 Avril 2007 13:56:55

Merci pour ton analyse. j'ai exécuté toutes tes instructions - désinfection de dijythoa et suppression de electronic-group qui était bien dans les éditeurs approuvés .. malheureusement le problème reste le même et l'UC est toujours utilisée à 100 % par system.

je te poste 1: le rapport de désinfection de blacklight 2: un nouveau rapport d'analyse blacklight après désinfection qui ne relève plus rien de spécial et 3: un nouveau rapport hijackthis

je commence à être un peu désespéré d'autant plus que le formatage et réinstallation de windows ne peu pas être envisagé .. j'ai un logiciel installé que je ne pourrais plus réinstaller si supprimé ..

Pas simple mon souci..

merci d'avance de tes conseils expert.

1: rapport désinfection BL

Clean Navipromo version 1.1.3 commencé le 04/04/2007 à 13:26:14,10

Fix lancé depuis C:\Documents and Settings\PREPA\Bureau
Mise a jour le 31.03.2007 a 08h00 by IL-MAFIOSO

Executé en mode sans echec

Mode suppression par méthode manuelle

Nom du fichier saisi : dijythoa

*** Recherche, Creation backups et suppression ***

C:\WINDOWS\system32\dijythoa.exe absent !
C:\WINDOWS\system32\dijythoa.dat absent !
C:\WINDOWS\system32\dijythoa_nav.dat absent !
C:\WINDOWS\system32\dijythoa_navps.dat absent !
C:\WINDOWS\system32\dijythoa_navup.dat absent !
C:\WINDOWS\system32\dijythoa_navtmp.dat absent !
C:\WINDOWS\system32\dijythoa_m2s.xml absent !
C:\WINDOWS\prefetch\dijythoa*.pf absent !


*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner ...suppression...
C:\Program Files\MessengerSkinner supprimé !


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\PREPA\Application Data ***

...\Application Data\MessengerSkinner ...suppression...
...\Application Data\MessengerSkinner supprimé !



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\PREPA\Local Settings\Temp effectué !


*** Sauvegarde du registre vers dossier Backupnavi***


sauvegarde du registre réalisé avec succès !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

*
**
***
****
*****
******
*******
C:\WINDOWS\System32\gqavijzxds.exe trouvé !
Copie C:\WINDOWS\system32\gqavijzxds.exe réalisé avec succès !
C:\WINDOWS\system32\gqavijzxds.exe supprimé !

********
C:\WINDOWS\System32\bkfmrtls.exe trouvé !
Copie C:\WINDOWS\system32\bkfmrtls.exe réalisé avec succès !
C:\WINDOWS\system32\bkfmrtls.exe supprimé !

C:\WINDOWS\System32\bncbvhc.exe trouvé !
Copie C:\WINDOWS\system32\bncbvhc.exe réalisé avec succès !
C:\WINDOWS\system32\bncbvhc.exe supprimé !

C:\WINDOWS\System32\bwfskog.exe trouvé !
Copie C:\WINDOWS\system32\bwfskog.exe réalisé avec succès !
C:\WINDOWS\system32\bwfskog.exe supprimé !

C:\WINDOWS\System32\cfaqhsmzu.exe trouvé !
Copie C:\WINDOWS\system32\cfaqhsmzu.exe réalisé avec succès !
C:\WINDOWS\system32\cfaqhsmzu.exe supprimé !

C:\WINDOWS\System32\fdpxjwlbuc.exe trouvé !
Copie C:\WINDOWS\system32\fdpxjwlbuc.exe réalisé avec succès !
C:\WINDOWS\system32\fdpxjwlbuc.exe supprimé !

C:\WINDOWS\System32\gfqsmkual.exe trouvé !
Copie C:\WINDOWS\system32\gfqsmkual.exe réalisé avec succès !
C:\WINDOWS\system32\gfqsmkual.exe supprimé !

C:\WINDOWS\System32\hykmpd.exe trouvé !
Copie C:\WINDOWS\system32\hykmpd.exe réalisé avec succès !
C:\WINDOWS\system32\hykmpd.exe supprimé !

C:\WINDOWS\System32\ihgzpmwxc.exe trouvé !
Copie C:\WINDOWS\system32\ihgzpmwxc.exe réalisé avec succès !
C:\WINDOWS\system32\ihgzpmwxc.exe supprimé !

C:\WINDOWS\System32\ilrutjcs.exe trouvé !
Copie C:\WINDOWS\system32\ilrutjcs.exe réalisé avec succès !
C:\WINDOWS\system32\ilrutjcs.exe supprimé !

C:\WINDOWS\System32\ixlssqq.exe trouvé !
Copie C:\WINDOWS\system32\ixlssqq.exe réalisé avec succès !
C:\WINDOWS\system32\ixlssqq.exe supprimé !

C:\WINDOWS\System32\ntxjcuz.exe trouvé !
Copie C:\WINDOWS\system32\ntxjcuz.exe réalisé avec succès !
C:\WINDOWS\system32\ntxjcuz.exe supprimé !

C:\WINDOWS\System32\sgiazde.exe trouvé !
Copie C:\WINDOWS\system32\sgiazde.exe réalisé avec succès !
C:\WINDOWS\system32\sgiazde.exe supprimé !

C:\WINDOWS\System32\suddzlw.exe trouvé !
Copie C:\WINDOWS\system32\suddzlw.exe réalisé avec succès !
C:\WINDOWS\system32\suddzlw.exe supprimé !

C:\WINDOWS\System32\vbcspy.exe trouvé !
Copie C:\WINDOWS\system32\vbcspy.exe réalisé avec succès !
C:\WINDOWS\system32\vbcspy.exe supprimé !

C:\WINDOWS\System32\vejuqymfg.exe trouvé !
Copie C:\WINDOWS\system32\vejuqymfg.exe réalisé avec succès !
C:\WINDOWS\system32\vejuqymfg.exe supprimé !

C:\WINDOWS\System32\xjxain.exe trouvé !
Copie C:\WINDOWS\system32\xjxain.exe réalisé avec succès !
C:\WINDOWS\system32\xjxain.exe supprimé !


*** Nettoyage termine le 04/04/2007 à 13:27:27,30 ***

2: nouvelle analyse BL
Search Navipromo version 1.1.3 commencé le 04/04/2007 à 13:40:11,90

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\PREPA\Bureau
Mise a jour le 31.03.2007 a 08h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\PREPA\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 04/04/07 at 13:40:15.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .......................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 04/04/07 at 13:44:31 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********


*** Analyse Terminé le 04/04/2007 à 13:44:45,69 ***
3: rapport hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 13:39:01, on 04/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Executive Software\DiskeeperWorkstation\DKService.exe
C:\WINDOWS\system32\EloSrvce.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\EloDkMon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\PREPA\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://safe.tele2.com/inc/accounthelper.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service Elève pcAnywhere (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperWorkstation\DKService.exe
O23 - Service: EloSystemService - Elo Touchsystems, Inc. - C:\WINDOWS\system32\EloSrvce.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe



4 Avril 2007 14:44:41

Fais un scan en ligne chez Panda et postes le rapport dans une réponse :
http://www.pandasoftware.com/activescan/fr/activescan_p...
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

Comme tu as Avast, lis ceci avant :
http://forum.telecharger.01net.com/microhebdo/questions...
4 Avril 2007 19:10:15

voila le rapport de panda .. il y a encore des choses indésirables on dirait ...

Incident Statut Analyse

Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\bkfmrtls.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\bncbvhc.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\bwfskog.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\cfaqhsmzu.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\fdpxjwlbuc.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\gfqsmkual.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\gqavijzxds.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\hykmpd.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\ihgzpmwxc.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\ilrutjcs.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\ixlssqq.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\ntxjcuz.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\sgiazde.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\suddzlw.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\vbcspy.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\vejuqymfg.exe
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\PREPA\Bureau\Backupnavi\xjxain.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\PREPA\Bureau\navilog1.zip[Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\PREPA\Bureau\Process.exe
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\PREPA\Cookies\prepa@xiti[1].txt
Outil indésirable:Application/ToolWget No Désinfecté C:\install\Install.zip[Utils/Ftp/Wget/wgetwin-1_5_3_1-binary.zip][wget.exe]
Outil indésirable:Application/ToolWget No Désinfecté C:\install\Utils\Ftp\Wget\wgetwin-1_5_3_1-binary.zip[wget.exe]
Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe
Outil indésirable:Application/ToolWget No Désinfecté D:\cd insall 1.82.4\Install\Install.zip[Utils/Ftp/Wget/wgetwin-1_5_3_1-binary.zip][wget.exe]
4 Avril 2007 20:21:38

1)Lances hijackthis, do a scan only. coches sur la gauche ces lignes :

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Cliques ensuite sur fixchecked et valides, Fermes hijackthis.

2)Supprimes sur ton bureau :

blbetac.exe
navilog1.bat
navilog1.zip
Process.exe
regnavi.reg
traiteregfsbl.bat
traitementfsbl.bat

le dossier backupnavi

3)Supprimes via ton poste de travail :

C:\WINDOWS\system32\Process.exe<-- le fichier

4)Pour ceux-ci :
Citation :
Outil indésirable:Application/ToolWget No Désinfecté C:\install\Install.zip[Utils/Ftp/Wget/wgetwin-1_5_3_1-binary.zip][wget.exe]
Outil indésirable:Application/ToolWget No Désinfecté C:\install\Utils\Ftp\Wget\wgetwin-1_5_3_1-binary.zip[wget.exe]
Outil indésirable:Application/ToolWget No Désinfecté
D:\cd insall 1.82.4\Install\Install.zip[Utils/Ftp/Wget/wgetwin-1_5_3_1-binary.zip][wget.exe]
Tu les connais ?
5 Avril 2007 10:48:00

1) 2) 3) effectués ce matin .. déja le PC était retourné à une activité normale hier soir .. supposément grace aux manip que tu m'as fait effectuer .. du moins j'espère car comme expliqué au début du topic le problème semblait s'apparenter au serpent de mer et ressortir de temps en temps pour disparaître sans explication .. Quoi qu'il en soit merci mille fois pour ton aide .
Quant au 4) ces lignes font partie des fichiers d'installation d'un logiciel de gestion installé sur le PC . Ces "Wget" doivent avoir quelquechose à voir avec les mises à jour .. mais j'en sais rien en fait .. j'espère que ce logiciel n'est pas truffé de spywares et autres outil d'espionnage ..

Merci encore
5 Avril 2007 10:51:05

Non Panda les signalent juste comme outil indésirable mais pas comme virus ;) 
si ton problème est résolu, Ajoutes alors [Résolu] au titre. Pour cela :
* Cliques, dans votre premier message, sur le bouton "Editer"
* Rajoutes la mention à votre titre
* Cliques ensuite sur "Valider ton message"
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS