Forum Clubic

Bug de cmd.exe - cmd.exe prend 80% des ressources system

Salut tout le monde, j’espére que quelqu’un aura une solution.
je suis sous XP SP2 avec toutes les m-à-j sécurité et j’ai depuis peu cmd.exe qui fait n’imp!
il se met à prendre 80% des ressources systémes alors que je ne lui demande rien.
je suis donc obligé de le stopper à chaque démarrage.
Bon c’est pas génant me direz vous mais si vous aviez une solution ou une explication…
merci d’avance

Oxcimo

Salut,

Tu voulais dire le lancement de cmd.exe ou qu’il s’est lancé au démarrage de Windows et consomme toutes les ressources ?

Tu le lances par Démarrer -> Exécuter ou en cliquant sur un raccourci ?

Ça sent le virus … http://membres.lycos.fr/clucluriic/gifs/whistling.gif

Non, c’est le cmd.exe qui se lanse automatiquement au démarrage de windows et qui s’alloue toutes les ressources. une fois désactiver avec le gestionnaire de tache par contre il ne revient plus…

pourtant j’ai Norton Antivirus et il ne détecte rien…

est-il possible d’écraser le cmd.ee de mon pc par un fichier sain venant d’une autre machine???

Et un scan antivirus donne quoi ?

Lance une analyse en ligne avec ceci:

http://www.pandasoftware.com/activescan/fr…n_principal.htm

Copie le rapport final :wink:

+1 avec Ric.

Poste aussi un log HijackThis.

Oui, c’est possible de remplacer cmd.exe, mais il faut d’abord chercher la source du problème. Un batch mal fait/louche lancé au boot peut très bien causer ce genre de dérangement, sans que cmd.exe soit contaminé.

voici le rapport:

Incident Statut Analyse

Virus:Bck/Agent.AHW Désinfecté Système d’exploitation
Adware:adware/wupd No Désinfecté C:\PROGRAM FILES\Media Access
Adware:adware/elitebar No Désinfecté C:\WINDOWS\etb
Adware:adware/ezula No Désinfecté Registre Windows
Virus:Bck/Agent.AHW Désinfecté C:\Documents and Settings\Moi\Local Settings\Temp\98.tmp
Hacktool:HackTool/EvID4226 No Désinfecté C:\Documents and Settings\Moi\Mes documents\Soft\XP SP2\EvID4226Patch.exe

J’ai lancé Spyboat et il trouve rien d’anormal.

pour HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 16:54:11, on 11/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Documents and Settings\Moi\Menu Démarrer\Programmes\Démarrage\shutz.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Foxmail\Foxmail.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Avant Browser\avant.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Moi\Mes documents\Soft\Utiliaires windows\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEWorkaround Class - {08442457-929D-4522-AE24-9D3E4664A0C1} - C:\Program Files\IE URL Spoofing Patch\IEWorkaround3.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\…\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [nwiz] nwiz.exe /install
O4 - HKLM\…\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\…\Run: [MessengerPlus3] “C:\Program Files\Messenger Plus! 3\MsgPlus.exe”
O4 - HKLM\…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\…\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\…\Run: [Shtz] C:\Documents and Settings\Moi\Menu Démarrer\Programmes\Démarrage\shutz.exe
O4 - HKLM\…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM\…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\…\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033
O4 - HKLM\…\Run: [shell32] C:\WINDOWS\system32\wuauclt10.exe
O4 - HKLM\…\Run: [Client Server Runtime Process] C:\WINDOWS\system32\smmss.exe
O4 - HKLM\…\Run: [Windows update] C:\WINDOWS\system32\wudupdate.exe
O4 - HKCU\…\Run: [Foxmail] “C:\Program Files\Foxmail\Foxmail.exe” -min
O4 - HKCU\…\Run: [MediaDico] C:\Program Files\Micro Application\12 DICOS Indispensables\LanceMediaDICO12.exe Lancement
O4 - HKCU\…\RunOnce: [Web Offer] C:\WINDOWS\system32\smmss.exe
O4 - Startup: shutz.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: Bloquer ce serveur… - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité… - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d’Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page… - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Rechercher sur le Web… - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Surligner - C:\Program Files\Avant Browser\Highlight.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Interface Chat Voila - http://chat14.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure…teleir_cert.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe…nt.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by22fd.bay22.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://F:\Content\include\msSecUcd.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe…StatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\…\{559B85DE-5095-4DE9-968D-D46895053A51}: NameServer = 80.118.196.42 80.118.192.112
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

A faire :

  • Démarrer en mode sans échec
  • Désactiver la restauration système : clic droit sur le Poste de travail -> Propriétés -> onglet Restauration système -> cocher Désactiver… -> OK.
  • Lancer HijackThis, cocher puis fixer les lignes suivantes :
    O4 - HKLM\…\Run: [shell32] C:\WINDOWS\system32\wuauclt10.exe
    O4 - HKLM\…\Run: [Client Server Runtime Process] C:\WINDOWS\system32\smmss.exe
    O4 - HKLM\…\Run: [Windows update] C:\WINDOWS\system32\wudupdate.exe
    O4 - HKCU\…\RunOnce: [Web Offer] C:\WINDOWS\system32\smmss.exe
  • Afficher tous les fichiers cachés et protégés par le système :
    –> Panneau de config -> Options des dossiers :
  • cocher Afficher les fichiers et dossiers cachés
  • décocher Masquer les fichiers protégés du système d’exploitation
  • décocher Masquer les extensions connues
  • Rechercher et supprimer les fichiers suivants si trouvés :
    C:\WINDOWS\system32\wuauclt10.exe
    C:\WINDOWS\system32\smmss.exe
    C:\WINDOWS\system32\wudupdate.exe
  • Vider le cache Internet + cookies : Panneau de config -> Options Internet -> onglet Général : Supprimer les cookies + Supprimer les fichiers (cocher les deux cases)
  • Vider le dossier TEMP : Démarrer -> Exécuter -> %TEMP% -> OK -> supprimer tout le contenu.
  • Vider la corbeille.
  • Recacher les fichiers cachés + système
  • Redémarrer, repasser HijackThis et poster le nouveau log.

J’ajouterai dans -> Rechercher et supprimer les fichiers suivants si trouvés :

C:\WINDOWS\etb …

C:\PROGRAM FILES\Media Access

car pas désinfecté par panda… :wink:

merci à tous
mon pc est reparti comme en 14!!
j’été à 2dgts de formater et repartir à zéro, mais il a l’air d’avior retrouvé la stabilité légendaire de windows XP :stuck_out_tongue:
merci bien, vs etes balaise.

:jap:

@Ric : tu as tout à fait raison.

@oxcimo : n’oublie pas de réactiver la restauration système.

@+