Page 1 sur 4
process envahisseur [Résolu]
Posté : dim. 14 mars 2010 12:26
par vendeen47
Bonjour,
j'ai un problème depuis quelques jours. Je suis sous Win 7 64 bits, et brusquement un process inconnu (que je ne parviens pas à localiser en fait !) s'est mis à grignoter l'espace libre de mon disque système C:.
au bout de quelques heures à une journée, le disque est full et il faut un reboot pour récupérer l'espace libre initial, et c'est reparti pour un tour ! en plus, il me ralenti dans la mesure ou il bosse en permanence en arrière plan et fait des I/O importantes sur C:
l'antivirus n'a rien donné. j'ai tenté une restaure du système, mais la sauvegarde est trop récente et doit contenir l'anomalie.
merci à ceux qui auront une idée ?
Re: process envahisseur
Posté : dim. 14 mars 2010 13:41
par Ycor
Bonjour
Ça sent bon le nuisible.
Si tu n'as pas
Malewarebytes', télécharge la Free Version, fais les mises à jour et lance un examen complet.
Si ça ne donne rien, reste plus qu'à attendre un spécialiste des bêbêtes.
Re: process envahisseur
Posté : dim. 14 mars 2010 16:30
par vendeen47
Merci ycor,
j'essai tout de suite ce programme, je te tiens au courant.
Re: process envahisseur
Posté : dim. 14 mars 2010 18:30
par vendeen47
OK, trophée de chasse 2 trojan.agent 1 rogue installer et 1 hijack.display,prop
mais ça semble ne pas suffire, le bouffeur de disque est toujours actif.
si quelqu'un a une idée avant que je mette un pain de dynamite ?
Re: process envahisseur
Posté : dim. 14 mars 2010 19:43
par GaaZzz
Dans ce genre de cas, j'utilise un produit qui s'appelle filemon qui permet de savoir qui fait des accès sur le disque.
Jc
Re: process envahisseur
Posté : dim. 14 mars 2010 19:46
par chantal11
Bonjour,
@ vendeen47 :
Je déplace ton sujet dans la rubrique Sécurité.
Poste le contenu du rapport de
Malwarebytes que tu trouveras dans l'onglet Rapports/Logs.
puis génère un rapport RSIT :
- Télécharge random's system information tool (RSIT) de random/random et enregistre le sur le bureau
- Double clique sur RSIT.exe pour lancer l'outil. Il ne nécessite pas d'installation*.
- Dans l'écran Disclaimer, clique sur Continue pour accepter les conditions
- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et accepte la licence
- Quand l'analyse est terminée, 2 rapports sont générés :
- le rapport log.txt qui s'affiche
- le rapport info.txt qui est réduit dans la Barre des tâches
- Copie-colle le contenu de chaque rapport dans ta réponse
Ces rapports sont enregistrés dans le dossier C:\rsit
Important :
* Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
* Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
Valide par Appliquer.
Un spécialiste va te prendre en charge, pour contrôler si le système est bien "clean".
@+
Re: process envahisseur
Posté : dim. 14 mars 2010 20:44
par nardino
Bonsoir,
Pour suivre dès que tu auras mis le rapport log.txt de RSIT en ligne.
@+
Re: process envahisseur
Posté : dim. 14 mars 2010 23:25
par vendeen47
voici pour commencer le rapport Malwarebytes :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3865
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
14/03/2010 16:27:41
mbam-log-2010-03-14 (16-27-41).txt
Type de recherche: Examen complet (C:\|D:\|F:\|K:\|Z:\|)
Eléments examinés: 320551
Temps écoulé: 1 hour(s), 41 minute(s), 50 second(s)
Processus mémoire infecté(s): 0
le reste + tard.
et un grand merci.
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{549b5ca7-4a86-11d7-a4df-000874180bb3} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{549b5ca7-4a86-11d7-a4df-000874180bb3} (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
K:\copie de mes documents au 13032010\Downloads\registrydoktor-france-v04.exe (Rogue.Installer) -> Quarantined and deleted successfully.
Re: process envahisseur
Posté : dim. 14 mars 2010 23:37
par vendeen47
mais j'ai un problème connexe (?)
AutoIt Error
line-1: Error Variable used without being declared
?????
Re: process envahisseur
Posté : dim. 14 mars 2010 23:38
par vendeen47
bien sûr j'ai omis de préciser que c'est en exécutant RSIT