Sujet Précédent Sujet Suivant

[Virus] PC lent, IE ne se lance plu

Résolu/Fermé
leorn Messages postés 2 Date d'inscription mercredi 30 mai 2007 Statut Membre Dernière intervention 30 mai 2007 - 30 mai 2007 à 09:25
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 30 mai 2007 à 16:28
Bonjour PC trés lent avec un CPU a 100% en permanance.
Des processus tell que : rtvscan.exe spbbcsvc.exe ccevtmgr.exe services.exe sont les pincipaux mangeur du CPU

J'ai scané la machine avec divers anti spy mais rien donner J'ai donc comme indiquer sur divers forum fait un scan hijackthis
voici le rapport:


Logfile of HijackThis v1.99.1
Scan saved at 09:09:33, on 30/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\pcAnywhere\awhost32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\Empowering Technology\awServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\awtray.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\Program Files\Symantec AntiVirus\DoScan.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\hijackthis\hijackthis vf.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dcsportal.ctfr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy1_tfr.ctfr:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = dcs.toyota.fr;*.ctfr;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 150.45.113.240 extranet.toyota.fr
O1 - Hosts: 150.45.113.125 S44F4864
O1 - Hosts: 192.50.14.201 dcs.toyota.fr
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [AdminWorks Tray] "C:\Acer\Empowering Technology\awtray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{33C53AA0-13EB-42D3-A4A5-D253D0E1C364}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{33C53AA0-13EB-42D3-A4A5-D253D0E1C364}: NameServer = 192.168.1.1
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: AdminWorks Agent X6 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Acer\Empowering Technology\awServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

merci de votre aide
A voir également:

3 réponses

Réponse 1 / 3
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
30 mai 2007 à 10:15
Utile ? Votez !
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Télécharger sur le bureau
Navilog.zip
= Double-Clic navilog1.zip
= Extraire tout sur le bureau
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1

un rapport : fixnavi.txt dans C : va se creer
le copier/coller dans ton prochain message.




= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8, jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
= Lance navilog1
= Cette fois-ci choisi l'option 2
= Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
= Un rapport va être génrer sur ton C:\ qui sera en option 2
Note: le bureau disparaît

= Redémarre en mode normal et colle le contenu du rapport de navilog (qui est en option 2)





utilise aussi pour supprimer tes traces

CCLEANER: (lance un netoyage et repare les clés)
https://www.01net.com/




ensuite:

scan avec des antiespions(en mode sans echec):


spybot :

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

AVG antispyware

https://www.01net.com/telecharger/



D/puis fait un scan en ligne avec un des suivants: et colle le rapport)

Panda en ligne :
http://pandasoftware.fr

bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
1
Réponse 2 / 3
leorn Messages postés 2 Date d'inscription mercredi 30 mai 2007 Statut Membre Dernière intervention 30 mai 2007
30 mai 2007 à 15:23
Merci pour ton aide

1 er raport)

Search Navipromo version 2.0.2 commencé le 30/05/2007 à 10:26:16,75



!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!



Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO



Executé en mode normal



*** Recherche Programmes installes ***









*** Recherche dossiers dans C:\WINDOWS ***









*** Recherche dossiers dans C:\Program Files ***









*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***









*** Recherche dossiers dans C:\Documents and Settings\GCA LISIEUX\Application Data ***







*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

https://www.f-secure.com/en



Fichier(s) caché(s) dans C:\WINDOWS\system32 :



c:\WINDOWS\system32\eqplest.dat

C:\windows\system32\eqplest.exe

c:\WINDOWS\system32\eqplest_nav.dat

c:\WINDOWS\system32\eqplest_navps.dat



Processus caché(s) dans C:\WINDOWS\system32 :



C:\windows\system32\eqplest.exe





*** Recherche fichiers ***





C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !





*** Recherche cles registre ***





Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]







Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]







Recherche Clé Magic Control



HKEY_CURRENT_USER\Software\Lanconfig trouvé !





*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)



1)Recherche fichiers connus:





2)Recherche Heuristique :

*

C:\WINDOWS\system32\eqplest.dat trouvé !

**

C:\WINDOWS\system32\eqplest.dat trouvé !

***

****

C:\WINDOWS\system32\eqplest_navps.dat trouvé !

*****

******

*******

********

C:\WINDOWS\system32\eqplest.exe trouvé !





*** Analyse Terminé le 30/05/2007 à 10:43:41,35 ***


2 eme raport)

Clean Navipromo version 2.0.2 commencé le 30/05/2007 à 10:51:39,81



Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO



Mode suppression automatique avec prise en charge résultats Blacklight





*** Creation backups fichiers trouvés par Blacklight ***



Copie vers "C:\Program Files\navilog1\Backupnavi"





*** Suppression des fichiers trouvés avec Blacklight ***



c:\WINDOWS\system32\eqplest.dat supprimé !

C:\windows\system32\eqplest.exe supprimé !

c:\WINDOWS\system32\eqplest_nav.dat supprimé !

c:\WINDOWS\system32\eqplest_navps.dat supprimé !



** 2ème passage **



C:\WINDOWS\system32\eqplest.exe absent !

C:\WINDOWS\system32\eqplest.dat absent !

C:\WINDOWS\system32\eqplest_nav.dat absent !

C:\WINDOWS\system32\eqplest_navps.dat absent !

C:\WINDOWS\system32\eqplest_navup.dat absent !

C:\WINDOWS\system32\eqplest_navtmp.dat absent !

C:\WINDOWS\system32\eqplest_m2s.xml absent !





C:\WINDOWS\prefetch\eqplest*.pf trouvé !

Copie C:\WINDOWS\prefetch\eqplest*.pf réalise avec succes !

C:\WINDOWS\prefetch\eqplest*.pf supprimé !



*** Suppression dossiers dans C:\WINDOWS ***





*** Suppression dossiers dans C:\Program Files ***





*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***





*** Suppression dossiers dans C:\Documents and Settings\GCA LISIEUX\Application Data ***







*** Suppression fichiers ***



C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !



*** Suppression fichiers temporaires ***



Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\GCA LISIEUX\Local Settings\Temp effectué !





*** Sauvegarde du registre vers dossier Backupnavi***





sauvegarde du registre réalise avec succes !





*** Nettoyage registre ***





Nettoyage registre Ok



*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)



1)Recherche fichiers connus:





2)Recherche et Suppression Heuristique :



*

**

***

****

*****

******

*******

********



3)Contrôle présence clés Rootkit dans le registre :



Aucune autre clés présente dans le registre !



*** Nettoyage termine le 30/05/2007 à 10:54:23,48 ***



Rapport http://pandasoftware.fr :



Incident Statut Analyse



Outil indésirable:Application/Processor No Désinfecté C:\Program Files\Navilog1\Process.exe


Une net amelioration, je refait tt de meme des scan pour confirmer mais sa a l'air d'etre bon
0
Réponse 3 / 3
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
30 mai 2007 à 16:28
pas ma lde rootkit effacés!

lance ccleaner


CCLEANER: (lance un netoyage et repare les clés) ne pas installer yahoo toolbar

https://www.01net.com/

puis scan avec bitdefender et colle le rapport

http://www.bitdefender.fr/scan_fr/scan8/ie.html
0

Discussions similaires

Prélèvement Google Ireland Limited
jaffa1961 -
gill34051 -

32 réponses