Forum Clubic

Wmiprvse.exe: 100% de l'UC ?

Bonjour à tous,

Depuis quelques temps j’ai remarqué qu’un service se lancait inopinément: wmiprvse.exe et occupe jusqu’à 100% de l’UC.
J’ai décoché (pour voir) toutes mes protections "en temps réels qui pouvaient éventuellement tourner en tâches de fond, mais le phénomène ne s’arrête pas pour autant.
J’ai lancé tous les scans (antivirus, antispy) RAS à priori. Idem Hijackthis ne montre rien de particulier.

J’ai appris en faiant un petit tour sur Google que ce service était important et qu’il ne fallait pas le “tuer” sous peine de “petits” problèmes :paf: .
Alors est-ce normal ?

Tu pourrais posté ton log hijackthis ? et aussi me dire où il se situe exactement sur ton disque dur …

Pourrais tu aussi vérifier si tu as ces entrées dans la base de registre :

Recherchez les entrées HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Kernel_check = wmiprvse.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Kernel_check = wmiprvse.exe

Non, HKLM\…\Run, il n’y a pas “Kernel_check = wmiprvse.exe”
et à …\RunServices, il n’y a rien du tout.

Voici le log:
Logfile of HijackThis v1.99.1
Scan saved at 11:34:33, on 10/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\…\Run: [Motive SmartBridge] C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\…\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\…\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse…pDownloader.cab
O16 - DPF: {B495C654-5860-45D4-8EAA-5663B9393F33} (OVA Class) - http://go.microsoft.com/fwlink/?linkid=49480
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Ok, ça à l’air correct, à part C-dilla, mais tu utilises peut être un logiciel qui le nécéssite …

Pour être sûr tu, pourrais lancer cet utilitaire de désinfection :

http://securityresponse.symantec.com/avcenter/FxGaobot.exe

Et dire s’il trouve quelque chose … :slight_smile:

Pourrais tu préciser la localisation du fichier wmiprvse.exe
qui se lance stpl … :wink:

J’ai lancé le scan Symantec, mais il n’a pas trouvé de Gaobot

C-DILLA est là parce que j’ai l’encyclopédie Universalis.

Quand aux localisation de l’exe, les voici:

wmiprvse.exe C:\WINDOWS\$NTServicePackUninstall$
WMIPRVSE.EXE-28F301A9.pf C:\WINDOWS\Preftech
wmiprvse.exe C:\WINDOWS\ServicePackFiles\i386
wmiprvse.exe C:\WINDOWS\system32\wbem

Oki, ça me semble ok alors, car le virus gaebot se copie sous wmiprvse.exe dans C:\WINDOWS\system32

On peut donc l’écarter …

Ce que tu peux déjà faire c’est vider ton dossier prefetch ( laisse juste le layout.ini ) et supprimes tout le reste dans C:\WINDOWS\Preftech

OK, mais est-ce sans risque ? :??:

:oui: aucun risque , tu supprimes tout ce qu’il y a dans le dossier prefetch à l’exception du fichier cité plus haut, et encore se serait pas dramatique … :slight_smile:

Voilà qui est fait. 5Mo parti à la poubelle :slight_smile:

Un petit redémarrage, et voir si c’est toujours pareil … :wink:

Il semble s’être calmé effectivement :clap: Pourvu que ça dure !

Merci de ton aide et de ta patience :jap: :jap:

Mais c’est avec plaisir … :slight_smile:

Espèrons qu’il reste calme … :neutre: