Forum Clubic

Processus comrepl.exe me mange 685 Mo de ram et de plus en plus! d'ou il sort?!?

bonjour,

peut être y a t’il une relation de cause à effet mais depuis quelques jours, quand je quittais mes jeux, je voyais une info bulle me disant que la memoire virtuelle était saturée.

plus je laisse tourner comrepl, et plus il me mange de la ram! là, on en est à 699 Mo
aidez moi svp
Edité le 06/04/2009 à 16:05

Ou est son emplacement d’execution ? (System32 ?)

Télécharge HijackThis (http://download.hijackthis.eu/HJTInstall.exe)

Copie/Colle ton log sur le site hijackthis (http://www.hijackthis.de/fr)

S’il t’indique que comrepl est une manace, et qu’il s’execute au mauvais endroit, éradique le sans états d’âmes.
Edité le 06/04/2009 à 16:44

merci,

je m’execute et revient au rapport


voilà:

c’etait bien un processus “Nasty” selon hijackthis!

bien ce programme!

merci beaucoup
Edité le 06/04/2009 à 17:12

Vérifie tout ce qu’il te trouve de Nasty et reboot bien.

Apprécie bien ta RAM libre.

A bientôt sur un autre post

salut

post quand même ton log après tes manip

re,

tu crois pas si bien dire! le processus est de retour…

en fait il fonctionne comme ça : il consomme de + en + de ram, là j’en suis à 578 Mo!!!

j’ai vraiment besoin d’aide là ! -_-

Voici mon log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:33:40, on 06/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\utilitaires\avast\aswUpdSv.exe
E:\utilitaires\avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\Fred\LOCALS~1\Temp\comrepl.exe
E:\UTILIT~1\avast\ashDisp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\utilitaires\RocketDock\RocketDock.exe
C:\Documents and Settings\Fred\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
C:\Program Files\Microsoft IntelliType Pro\dpupdchk.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
E:\utilitaires\avast\ashMaiSv.exe
E:\utilitaires\avast\ashWebSv.exe
E:\utilitaires\humyo.fr Application\hrfscore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\Fred\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Fred\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
E:\utilitaires\hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\DOCUME~1\Fred\LOCALS~1\Temp\comrepl.exe
O2 - BHO: GigagetIEHelper - {111CAA23-6F4F-42AC-8555-B48C1D87BBAB} - C:\WINDOWS\system32\gigagetbho_v10.dll
O2 - BHO: IEHelperObject - {4DC16316-5372-4476-9CA5-88B2786B838F} - E:\utilitaires\humyo.fr Application\HrfsDownloader.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\utilitaires\java\bin\jp2ssv.dll
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [avast!] E:\UTILIT~1\avast\ashDisp.exe
O4 - HKLM…\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM…\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM…\Run: [itype] “C:\Program Files\Microsoft IntelliType Pro\itype.exe”
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [RocketDock] “E:\utilitaires\RocketDock\RocketDock.exe”
O4 - HKCU…\Run: [AlcoholAutomount] “C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe” /automount
O4 - HKCU…\Run: [Google Update] “C:\Documents and Settings\Fred\Local Settings\Application Data\Google\Update\GoogleUpdate.exe” /c
O4 - HKCU…\Run: [UberIcon] “C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe”
O4 - HKLM…\Policies\Explorer\Run: [ClipSrv] C:\WINDOWS\System\clipsrv.exe /waitservice
O4 - HKCU…\Policies\Explorer\Run: [rsvp] C:\DOCUME~1\Fred\LOCALS~1\APPLIC~1\MICROS~1\rsvp.exe /waitservice
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\Fred\LOCALS~1\APPLIC~1\dllhst3g.exe /waitservice (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)
O4 - HKUS.DEFAULT…\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\Fred\LOCALS~1\APPLIC~1\dllhst3g.exe /waitservice (User ‘Default user’)
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
O4 - Global Startup: humyo.fr Application.lnk = E:\utilitaires\humyo.fr Application\HrfsClient.exe
O8 - Extra context menu item: &Download All by Gigaget - E:\utilitaires\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - E:\utilitaires\Gigaget\geturl.htm
O8 - Extra context menu item: Add to Evernote - E:\utilitaires\evernote\enbar.dll…
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\system32\GPhotos.scr…
O8 - Extra context menu item: Save Image To humyo.fr - E:\utilitaires\humyo.fr Application\download.html
O8 - Extra context menu item: Save Target To humyo.fr - E:\utilitaires\humyo.fr Application\download.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Add to Evernote - {E0B8C461-F8FB-49b4-8373-FE32E9252800} - E:\utilitaires\evernote\enbar.dll (HKCU)
O9 - Extra ‘Tools’ menuitem: Add to Evernote - {E0B8C461-F8FB-49b4-8373-FE32E9252800} - E:\utilitaires\evernote\enbar.dll (HKCU)
O16 - DPF: {A364AF35-0CDF-41E8-8F3B-E0E55E15EBA1} (Zenturi Active Programs Control) - www.programchecker.com…
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com…
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\utilitaires\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\utilitaires\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\utilitaires\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\utilitaires\avast\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: humyo.com - humyo.com Ltd. - E:\utilitaires\humyo.fr Application\hrfscore.exe
O23 - Service: Nero BackItUp Scheduler 3 - Unknown owner - E:\utilitaires\nero\Nero\Nero8\Nero BackItUp\NBService.exe (file missing)
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe


End of file - 8552 bytes
Edité le 06/04/2009 à 20:37

Repérez la ligne F3 sur le rapport
Regardez nom du fichier à la fin de la ligne et notez le.
Exemple : F3 - REG:win.ini: load=C:\Users\Phil\AppData\Roaming\MICROS~1\cisvc.exe
Menu Démarrer / exécuter et tape : taskmgr puis clic sur OK.
Onglet processus, cherchez le nom du fichier que vous avez noté.
Sélectionnez le et clicquez sur fin de tâches en bas.
Relancez HijackThis, toujours via le bouton Do a scan only
Sélectionnez la ligne F3 ainsi que les lignes O4 finissant par /waitservice,
Redémarrez l’ordinateur.
Supprimez les fichiers en ligne F3 et O4 manuellement
Faites un scan avec votre antivirus pour supprimer les fichiers infectieux

et repost un log


passe aussi un coup de malwarebyte

de suite…

merci

Salut

télécharges --> Malwarebytes mbam) -->Malarebytes

installes + mise a jour
et aprés
Redémarre en “Mode sans échec” : redémarres ton ordinateur et tapote sur la touche F8 jusqu’à l’affichage du menu des options avancées de Windows, et sélectionne “Mode sans échec”.
Choisis ta session habituelle

Lances–> Malwarebytes (MBAM)

  • Puis vas dans l’onglet “Recherche”, coche “Exécuter un examen complet” puis “Rechercher”
  • Sélectionnse tes disques durs" puis clique sur “Lancer l’examen”
  • A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
  • Suppression des éléments détectés --> cliques sur Supprimer la sélection
  • S’il t’ es demandé de redémarrer, clique sur “oui”

aprés la suppression(s) de ou des infections trouvées --> poste le rapport

ensuite

->un coup de nettoyage avec Ccleaner

redémarres ton PC

le scan antiviral est tres long, il me faut attendre. mais apres le redemarrage, pas de trace de “comrepl.exe” ni dans le gestionnaire des taches, ni dans le dossier temp incriminé par hijackthis (il m’en reste cependant 3 : dans Windows\system, Window\servicepackfiles\i386 et Windows\system32\com).

oui c’est long

continue le scan jusqu’au bout

np,

j’ai déjà malwarebytes mais sur mon nouvel ordi, F8 ne renvoi pas à la page du demarrage sans echec, il va falloir que je me penche là dessus.

pour l’instant, j’en suis au scan d’avast, je vous tiens au courant presque en live!^^

en tous cas merci pour votre aide les gars cela fait plaisir.

il m’a trouvé des troyens dans les restore (je sais pas si je me fais bien comprendre ^^) je les ai mis en quarantaine, le deuxieme j’étais énervé, je l’ai mis direct en cinquantaine!

pour l’instant, comrepl ne s’est pas chargé en processus…
Edité le 06/04/2009 à 22:01

tu feras parés malwarebytes si tu arrives pas en mode sans " echec" fais une analyse cmpléte + suppression en mode classique

ensuite fais
ESET online scanner -->ESETavec Explorer(uniquement)
www.eset.eu…

Pendant les analyses ,fermes tes autres applications et desactives tes protections ,que tu n oublieras pas de reactiver

coches les deux cases->remove Found Threats et scan unwanted applications

n oublis pas de réactivr ton Antivirus aprés l analyse

tu diras si il y a eu suppression(s)

Télécharges -->CCleaner sur le bureau:
Ne le télécharge pas si tu l’as déjà !

Une fois sur le bureau, clic sur l’install de CCleaner.

  • Mais avant de cliquer sur le bouton “installer”, décoche toutes les “options supplémentaires”.
    Ensuite, clique sur “Options”, “Avancé” et décoche la case—
    “Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures”.
    Clique sur l’onglet “Nettoyeur” puis sur “Lancer le Nettoyage”.
    -> Ensuite clique sur l’icone Registre, à droite, clique sur “Chercher des erreurs” puis sur “Réparer les erreurs sélectionnées”.

Accepte la sauvegarde, de la BDR (base de registre )qu’il propose .
Je te conseille de le repasser au moins deux fois,( jusqu’à qu’il ne trouve plus d’erreurs.)
redemarres ton PC

ensuite

installes cet utilitair–>FileHippo

fais les mises à jour qui te sont proposée(s )

bon, le scan est fait, à part 4 alertes dans les systeme volume information_restore que j’ai mis en quarantaine, j’ai rien eu.

je passe à malware maintenant (et j’essaye de demarrer mon systeme en sans echec) je sens que je vais rire…

je vous tiens au courant

pour ccleaner, je viens de decocher la case en question (je ne l’avais jamais fait)

je tente tout de même de trouver le mode sans echec, c’est grave de pas pouvoir le mettre
Edité le 06/04/2009 à 22:23

re

non–>je t ai marqué

:hello:

désolé, je suis tétu et j’ai trouvé qu’en passant par msconfig, on pouvait redemarrer en mode sans echec, ce que j’ai fait (par ce que cela me servira toujours de savoir passer en sans echec):

j’ai donc lancé malwarebytes, et au bout de 45mn:
à part un trojan du à ebay que j’ai supprimé, rien du tout.

comrepl ne s’est toujours pas lancé dans les processus et ccleaner n’efface plus rien en cle de registre.

ça sent bon là non?

salut

pour ce qui est de–systeme volume information_restore–> des Sal@peries y sont logées

Fais ceci

–>désactiver ou activer la restauration système

tu peux aussi supprimer ta quarantaine -->dans Malwarebytes

Bonjour,

bon ben j’ai toujours pas de traces de ce processus je crois que c’est bon. je desactiverai très certainement la restauration systeme.

encore merci de m’avoir aidé à tous les trois ^^

merci merci:clap:

laisse la restauration système mais penses de temps en temps a supprimer les restauration trop ancienne