UC à 100% en permanence

[jmchaps]

Bonjour, je reviens faire appel à vos compétences.
J'ai des soucis avec le portable de mon épouse(qui est aussi celui des enfants)
Le portable rame comme c'est pas permis.
le processus qui occupe 99% est svchost.exe.
Avast4.8 avait détecté un rootkit mais je n'ai pas le détail.



Portable LG LW60Express
Windows XP Edition Familiale, SP2
Avast 4.8

[jmchaps]

Le malware trouvé par Avast est:
Win32:Bubnix-J [RtK]
Le fichier incriminé C:\WINDOWS\System32\Drivers\pd ltph.sys
Voila les éléments que je peut fournir.

[b marlow]

Salut,
Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan Complet à la fin clique sur Supprimer la sélection
Accepte le reboot de l'ordi pour le nettoyage, puis poste le rapport final en P-J.

NB: sur le tuto c'est le scan Rapide, faire le scan Complet, plus long mais total.

Aide en images.

[jmchaps]

Salut et merci.
Le rapport mbam en pj.

[b marlow]

cherche ce programme C:\Program Files\trend micro\JEAN MICHEL.exe
double-clique dessus, clique sur Do a system scan only, coche ces lignes
ferme les fenêtres actives puis clique sur Fixchecked:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIco n.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDS erv.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupda te.exe" -Embedding -boot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNoti fier\GoogleToolbarNotifier.exe "
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: updpxe32.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)


Ensuite tu peux aussi changer d'antivirus,>AntiVir (tuto)< est bien meilleur qu'avast.
Il est en français et tout aussi gratuit.
Si tu changes d'av ce qui est souhaitable, désinstalle avast avant l'installation d'AntiVir.
Configure-le comme sur le tuto puis fais un scan. S'il détecte un problème poste le rapport.

Clique ici pour télécharger la dernière version.

[jmchaps]

La suite:
changer Avast pour Avira comme sur ma tour.
le rapport en pj.
merci

[b marlow]

tu comprends mieux d'où viennent tes problèmes, pas besoin de faire un dessin:

C:\Program Files\WinRAR\WInrarCrack342.exe

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[jmchaps]

Je comprends mieux, oui et non.Winrar est dans la becane depuis plusieurs annees.Et jamais une alerte des antivirus successifs installes ni des scans en ligne.La seule alerte concernait:

c:\windows\system32\driVERs\pd ltph.sys

rapport combo en pj

[b marlow]

cherche et supprime ce dossier :
c:\windows\system32\config\sys temprofile\Application Data\bawuho.dat
si tu ne le vois pas affiche les fichiers cachés:
Affiche les fichiers cachés:
Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher « Afficher les dossiers et fichiers cachés »,
- décocher « Masquer les extensions des fichiers dont le type est connu ».
- décocher « Masquer les fichiers protégés du système d'exploitation (recommandé) »
« appliquer » et « ok » .

Puis refais un scan AntiVir pour contrôler la suppression du Rootkit, à la fin poste le nouveau rapport.

[jmchaps]

j'ai supprimé bawuho.dat

le nouveau rapport Antivir en pj

Merci

[b marlow]

Ceci va supprimer les outils qui nous ont servi à la procédure:
Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista l'utilisation de l'outil nécessite de faire Clic-droit Exécuter en tant qu'administrateur.

[jmchaps]

Le rapport toolscleaner en pj.J'ai lancé deux fois toolscleaner d'où le rapport un peu succinct.
En tout les cas encore un grand merci.

[b marlow]

Ok, supprime ComboFix s'il est encore sur le Bureau.

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

Avoir une image disque pour faire un backup en cas de crash ou autres gros soucis


@+

[jmchaps]

Ok, encore merci pour le job.
@+