Posté le: 13 Mar 2008 0:05 Sujet du message: HELP! : Services.exe RAME !
Tout d'abord, bonjour à tous, étant nouveau sur le forum !
Voilà mon problème, que je vous soumets en désespoir de cause après avoir tout essayé (Et ayant vu Marie dans un autre post résoudre un cas qui semblait proche) !!!
Je suis sous XP pro sp2 et depuis quelques jours, mon PC rame à fond en faisant des lectures non-stop sur le disque !!! En recherchant (grace à Process Explorer), j'ai trouvé que c'était le process Services.exe qui n'arrête pas de lire tout les fichiers du disques. De plus, il utilise la RAM correspondant au fichier qu'il est en train de lire à chaque instant (ex : s'il lit un fichier de 1go, il va monter à 1go de RAM !!!).
Donc help, help, help car je suis à 2 doigts de partir sur un reformatage et reinstall, ce qui me poserait de nombreux problème car je bosse chez moi sur cette machine !!! Pour info, le cas ne se produit pas en mode sans echec. Je ne sais donc pas dire si c'est un problème de virus ou non, mais ça y ressemble ! (AV : bitdefender)
Voici donc ma log Hijackthis, si quelqu'un se sent... (Marie peut-être :? )
________________________________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:40:03, on 12/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Etite info supplémentaire, il semblerait que ce comportement s'arrète après de nombreuses heures sans rebooter... si je regarde dans le gestionnaire de tache (processus), le process Services.exe est bien redevenu stable après avoir lu l'équivalent de la taille du contenu du disque dur (on le voit dans la colonne Octets de lecture E/S:200Go !!!) mais tout recommence après reboot !!!
Tout d'abord, merci pour ta réponse.
Je viens de tester mais aucun changement !!!
Pendant que je t'écris, services.exe oscile entre 6 et 800 Mo de mémoire utilisée !!! Et des E/S qui ne cessent de grimper !
Par contre, j'ai continuer mes recherches et voilà ce que j'ai remarqué : Il semble que ce soit quelquechose qui scanne tout le disque a l'ouverture de windows en tache de fond car ensuite, au bout de 2 heures, ça s'arrète et le services.exe reprend un RAM normale (8Mo) et ne bouge plus.
J'ai fait un adaware en mode sans echec et il m'a trouvé un problème "Root: HKLM Path: SYSTEM\ControlSet001\Control\SafeBoot\Minimal\\ctl_w32.sys" mais il n'arrive pas à le résoudre et je ne trouve pas cette clé dans mes registres... Est-ce que ça peut venir de ça ???
Je te colle la log de adaware :
Scan Detailed Statistics
Type Critical Total
Process Scan 0 0
Registry Scan 4 4
Registry PE Scan 0 0
Hosts Scan 0 0
File Scan 0 0
Folder Scan 0 0
LSP Scan 0 0
ADS Scan 0 0
Cookie Scan 28 28
File Hash Scan 2 2
[to top]
Infections Found
Family Id Name Category TAI
67 Adware.CDN Malware 8
[300031824] Root: HKCR Path: clsid\{d449eb58-55af-4695-b216-895d546aed89}
[300031825] Root: HKCR Path: interface\{446761d5-3ac9-40cc-9dcd-cde23e2ce31a}
[300031826] Root: HKCR Path: typelib\{b7db519e-7131-47b1-a9f5-da8d061c2611}
725 Tracking Cookie DataMiner 3
[600000225] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat weborama.fr AFFICHE_W /
[600000179] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat atdmt.com AA002 /
[600000187] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com ACID /
[600000187] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com BASE /
[600000187] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com ROLL /
[600000187] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com F1 /
[600000001] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat smartadserver.com TestIfCookieP /
[600000001] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat smartadserver.com pbw /
[600000001] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat smartadserver.com pid /
[600000001] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat smartadserver.com pbwmaj /
[600000408] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat serving-sys.com U /
[600000408] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat serving-sys.com A2 /
[600000408] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat serving-sys.com B2 /
[600000408] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat serving-sys.com C3 /
[600000408] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat serving-sys.com D3 /
[600000408] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat serving-sys.com E2 /
[600000171] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat bs.serving-sys.com eyeblaster /
[600000085] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat questionmarket.com CS1 /
[600000085] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat questionmarket.com ES /
[600000085] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat questionmarket.com LP /
[600000415] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net NETID01 /
[600000415] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net NETSEGS_K05540 /
[600000415] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net rsi_cls_1000000 /
[600000415] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net rsi_segs_1000000 /
[600000664] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat betanews.com __gads /
[600000664] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat fileforum.betanews.com __utma /
[600000664] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat fileforum.betanews.com __utmb /
[600000664] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat fileforum.betanews.com __utmz /
Removed Objects
Family Id Name Category TAI
67 Adware.CDN Malware 8
[300031824] Root: HKCR Path: clsid\{d449eb58-55af-4695-b216-895d546aed89}
[300031825] Root: HKCR Path: interface\{446761d5-3ac9-40cc-9dcd-cde23e2ce31a}
[300031826] Root: HKCR Path: typelib\{b7db519e-7131-47b1-a9f5-da8d061c2611}
725 Tracking Cookie DataMiner 3
[600000225] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat weborama.fr AFFICHE_W /
[600000187] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com ACID /
[600000187] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com BASE /
[600000187] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com ROLL /
[600000187] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com F1 /
[600000085] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat questionmarket.com CS1 /
[600000085] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat questionmarket.com ES /
[600000085] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat questionmarket.com LP /
[600000415] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net NETID01 /
[600000415] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net NETSEGS_K05540 /
[600000415] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net rsi_cls_1000000 /
[600000415] Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net rsi_segs_1000000 /
Désolé, ma log adaware s'est mal collée dans mon précédent message, la revoici donc en plus clair :
Ad-Aware 2007 Build
Log File Created on: 2008-03-12 16:13:25
Using Definitions File: C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware 2007\core.aawdef
Computer name: VISUELYS01
Name of user performing scan: SYSTEM
System information
===========================
Number of processors: 2
Processor type: Intel(R) Core(TM)2 CPU 6600 @ 2.40GHz
Memory Available: 85%
Total Physical Memory: -1074614272 Bytes
Available Physical Memory: 2705870848 Bytes
Total Page File Size: 5236187136 Bytes
Available On Page File: 4961247232 Bytes
Total Virtual Memory: 3221094400 Bytes
Available Virtual Memory: 2995101696 Bytes
OS: Microsoft Windows XP Service Pack 2 (Build 2600)
Ad-Aware 2007 Settings
===========================
Skipping files larger than 1048576 kB
Ignoring infections with lower TAI than: 3
Extended Ad-Aware 2007 Settings
===========================
Unloading known modules during scan
Ignoring spanned files when scanning cab archives
Reanalyzing results after scanning before displaying results
Trying to unload modules prior to removal
Let Windows remove files currently in use at next reboot
Removing quarantined objects after restore
Deactivating Ad-Watch during scans
Writeprotecting system files after repairs
Include info about ignored objects in log file
Including basic settings in log file
Including advanced settings in log file
Including user and computer name in log file
Create and save WebUpdate log file
Databaseinfo
===========================
Version number: 59
Build Number: 0
Build Date and Time: 2008/03/10 16:48:05
Scan Statistics
===========================
Method: Full
Scan tracking cookies.............................: On
Scan ADS filestreams..............................: Off
Infections Found
===========================
Family Id: 67 Name: Adware.CDN Category: Malware TAI:8
Item Id: 300031824 Value: Root: HKCR Path: clsid\{d449eb58-55af-4695-b216-895d546aed89}
Item Id: 300031825 Value: Root: HKCR Path: interface\{446761d5-3ac9-40cc-9dcd-cde23e2ce31a}
Item Id: 300031826 Value: Root: HKCR Path: typelib\{b7db519e-7131-47b1-a9f5-da8d061c2611}
Family Id: 725 Name: Tracking Cookie Category: DataMiner TAI:3
Item Id: 600000225 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat weborama.fr AFFICHE_W /
Item Id: 600000179 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat atdmt.com AA002 /
Item Id: 600000187 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com ACID /
Item Id: 600000187 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com BASE /
Item Id: 600000187 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com ROLL /
Item Id: 600000187 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com F1 /
Item Id: 600000001 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat smartadserver.com TestIfCookieP /
Item Id: 600000001 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat smartadserver.com pbw /
Item Id: 600000001 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat smartadserver.com pid /
Item Id: 600000001 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat smartadserver.com pbwmaj /
Item Id: 600000408 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat serving-sys.com U /
Item Id: 600000408 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat serving-sys.com A2 /
Item Id: 600000408 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat serving-sys.com B2 /
Item Id: 600000408 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat serving-sys.com C3 /
Item Id: 600000408 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat serving-sys.com D3 /
Item Id: 600000408 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat serving-sys.com E2 /
Item Id: 600000171 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat bs.serving-sys.com eyeblaster /
Item Id: 600000085 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat questionmarket.com CS1 /
Item Id: 600000085 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat questionmarket.com ES /
Item Id: 600000085 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat questionmarket.com LP /
Item Id: 600000415 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net NETID01 /
Item Id: 600000415 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net NETSEGS_K05540 /
Item Id: 600000415 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net rsi_cls_1000000 /
Item Id: 600000415 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net rsi_segs_1000000 /
Item Id: 600000664 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat betanews.com __gads /
Item Id: 600000664 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat fileforum.betanews.com __utma /
Item Id: 600000664 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat fileforum.betanews.com __utmb /
Item Id: 600000664 Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat fileforum.betanews.com __utmz /
Family Id: 941 Name: Win32.Trojan.Agent Category: Malware TAI:10
Item Id: 300039984 Value: Root: HKLM Path: SYSTEM\ControlSet001\Control\SafeBoot\Minimal\\ctl_w32.sys
Items Ignored During Scan
===========================
Listing of running processes
===========================
C:\WINDOWS\SYSTEM32\SMSS.EXE
c:\windows\system32\smss.exe
End Quarantine / Cleaned Infection Log
===========================
Cleaned Infections
===========================
End of Cleaned Infections
===========================
Cleaned Infections
===========================
Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat weborama.fr AFFICHE_W /, Belonging to Tracking Cookie
Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com ACID /, Belonging to Tracking Cookie
Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com BASE /, Belonging to Tracking Cookie
Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com ROLL /, Belonging to Tracking Cookie
Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat advertising.com F1 /, Belonging to Tracking Cookie
Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat questionmarket.com CS1 /, Belonging to Tracking Cookie
Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat questionmarket.com ES /, Belonging to Tracking Cookie
Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat questionmarket.com LP /, Belonging to Tracking Cookie
Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net NETID01 /, Belonging to Tracking Cookie
Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net NETSEGS_K05540 /, Belonging to Tracking Cookie
Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net rsi_cls_1000000 /, Belonging to Tracking Cookie
Browser: Internet Explorer Cookie: C:\Documents and Settings\Admin\Cookies\index.dat revsci.net rsi_segs_1000000 /, Belonging to Tracking Cookie
End of Cleaned Infections
===========================
Cleaned Infections
===========================
End of Cleaned Infections
===========================
Désolé pour le retard de réponse, je dois dire que j'ai été plutôt occupé ces temps-ci.
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Copie/colle un nouveau rapport HiJackThis avec. _________________
Juste une précision entre temps, j'ai installer Office Scan de Trend Micro et là, Oh surprise, il ne m'a trouvé aucun virus mais le symptome ne se fait plus et la machine démarre et fonctionne normalement !!!!
Je sais plus s'il faut y toucher ou laisser comme ça maintenant que ça fonctionne ?
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
