Falkra a écrit:Reçu et analysé, deux différences à l'intérieur, mais ça ne ressemble pas à de la corruption. Plutôt à une version différente, mais les numéros de versions concordent.

Fais un backup de tonfichier lsass.exe (sinon je pourrai te le renvoyer par mail)

Pour killbox : comme ça :

(chez toi fichiersain.exe sera lsass.exe (ne pas renommer, laisser lsass.exe) c'est bien un L LSASS. Et le chemin : le tien.

Ne coche pas dummy. Une fois paramétré, lance le reboot via le rond rouge (en haut à droite, 3eme bouton).

Salut Falkra ,

j'ai bien suivi tes recommendations...............le reboot avec le fichier sain c'est bien passé mais le problème persiste

si tu as d'autres idées.............

merci

Salut,

Il peut s'agir d'un bug de Windows XP. En effet, Windows "calcule" la durée de toutes les vidéos sur le disque, ce qui provoque une utilisation à près de 100% des ressources CPU ou mémoire par le processus Explorer.exe.

Afin de remédier à ce problème il s'agit dans un premier temps de désactiver les aperçus :

Démarrer / Exécuter / regsvr32 -u shmedia.dll


Il faut ensuite éditer la base de registre (Démarrer/Exécuter/ regedit), puis supprimer l'entrée suivante :

"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{87D62D94-71B3-4b9a-9489-5FE6850D C73E}\InProcServer32"


Sous certains systèmes, la clé se trouve à l'emplacement suivant :

HKEY_CLASSES_ROOT\CLSID\{87D62D94-71B3-4b9a-9489-5FE6850DC73E}


Il suffit alors de la renommer en la faisant précéder d'un signe moins (-) :

-{87D62D94-71B3-4b9a-9489-5FE6850DC73E}

salut voici ce que spybot me trouve :



voici mon rapport spybot , ces erreurs reviennent au démarrage de windows !!

les voici , dois je et puis je les supprimer manuellement an allant dans la base de registre , pour 3 d'entre elles spybot m'indique qu'il ne peut pas les supprimées car elles sont en cours d'utilisation.............

de toute façon elles reviennent quand je redémarre !!

les voici :

ce mchinjdrv m'intrigue , il y a un dossier portant ce nom dans la base de registre

Command Service: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService\\SYSTEM\CurrentControlSet\Services\mchInjDrv

Command Service: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService\\SYSTEM\CurrentControlSet\Services\mchInjDrv

Command Service: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\cmdService\\SYSTEM\CurrentControlSet\Services\mchInjDrv

Command Service: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Command Service: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService

Command Service: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\cmdService

Airsicily a écrit:Salut,

Il peut s'agir d'un bug de Windows XP. En effet, Windows "calcule" la durée de toutes les vidéos sur le disque, ce qui provoque une utilisation à près de 100% des ressources CPU ou mémoire par le processus Explorer.exe.

Afin de remédier à ce problème il s'agit dans un premier temps de désactiver les aperçus :

Démarrer / Exécuter / regsvr32 -u shmedia.dll


Il faut ensuite éditer la base de registre (Démarrer/Exécuter/ regedit), puis supprimer l'entrée suivante :

"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{87D62D94-71B3-4b9a-9489-5FE6850D C73E}\InProcServer32"


Sous certains systèmes, la clé se trouve à l'emplacement suivant :

HKEY_CLASSES_ROOT\CLSID\{87D62D94-71B3-4b9a-9489-5FE6850DC73E}


Il suffit alors de la renommer en la faisant précéder d'un signe moins (-) :

-{87D62D94-71B3-4b9a-9489-5FE6850DC73E}

salut , manip efectuée puis redémarrage et le problème est toujours la , par contre que penses tu de mon post avec le rapport spybot

Merci pour cette info. Possible que C'est un trojan sur le nom de LANFILT-J

Pour s'exécuter automatiquement lors de la connexion à l'ordinateur, Lanfilt-J ajoute l'entrée de registre suivante :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Services
mshost.exe

Le cheval de Troie crée aussi l'entrée de registre :

HKLM\Software\Microsoft\Windows
XP_CORE
%WINDOWS%\mshost.exe

Sur les versions Windows-NT (NT,2000,XP) le cheval de Troie crée un nouveau processus de service nommé "mchInjDrv".

Des entrées de registre sont créées sous :

HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv

Suprime la cle de registre. Fait moi savoir

Source :
http://www.zebulon.fr/virus/10322-2/detail-Troj_Lanfilt-J.html
(et onglet désinfection)

Pas de trace de lui dans le log hijackthis, il a pu en sauter une partie, il devrait apparaître dans les O23, à la fin :
http://www.castlecops.com/o23list-982.html

Essaie avec IceSword, secitn Win32 services, de voir s'il est encore là, ce service, et si oui, tu peux l'effacer via IceSword. Il apparaîtra peut-être en rouge dans la liste, sous le nom mchInjDrv, mc2A.tmp ou autre.

Dans les drivers, il faut shooter "MchInjDrv.sys" aussi. Je pense que ce virus a une partie rootkit, et le driver régénère les clés de registre. Le fichier n'apparaîtra pas, windows ne le verra pas.

IceSword ou Seem en viendront à bout.

dans un premier temps , pas de trace de mshost.exe

je viens de supprimer toutes les clé de registre concernant : mchInjDrv

et pour répondre a Falkra je n'arrive pas télécharger icesword , j'ai pris la version free , j'ai eu un decompte en attendant le fichier puis rien !!!!

le je redémarre apres les modifs dans le registre et vous dit ..................

Logiquement les clés vont revenir (hélas).
Je te l'ai envoyé par mail, icesword.

Falkra a écrit:Logiquement les clés vont revenir (hélas).
Je te l'ai envoyé par mail, icesword.

salut Falkra , icesword ben y veut pas !!!!

regarde ça !

Pas bon, ça suggère un élément type rootkit qui empêche l'antirootkit de démarrer. Essaie darkspy (cf tuto) ou d'autres, à la recherche de lignes rouges, tu vas l'avoir. Sinon sophos anti rootkit éventuellement (dans le tuto aussi).

Ce n'est qu'une question de temps, tu auras sa peau.

salut Falkra , bon un peu marre de ce problème alors j'ai réinstaller windows et hop l'erreur est partie !!!!!!!!

dommage que l'on ait pas découvert une soluce sans avoir besoin de reinstaller pour celles et ceux a qui ce problème pourrait arrivé !!!!

je tenais a vous remercier pour votra aide , chapeau les pros de chez "l bellules"

a tres bientôt sur le forum ......

je clos ce post comme résolu !! mais bon...............

Ok, pas de problème, parfois, on a aussi besoin d'aller vite.
Pour l'avenir : fais des sauvegardes de la partition du système (avec un logiciel type ghost, ou un gratuit, driveimageXML, tuto sur libellules si besoin).
Ensuite, fais les mises à jour de sécurité windows, et tiens bien à jour également antivirus et antispywares.

Salut!

Excuse moi, mais as-tu au moins essayer de simplement résintaller le SP2 de Windows? Apparement, suivant ce que tu as dit et toute les manipulations que tu as faite, il ne s'agit pas d'un Virus, mais bien d'une défectiosité du fichier. La réinstallation du Service Pack aurait été bien bien mieux qu'une simple restauration,et cela aurait remplacer tous les fichiers systèmes endommagés, par des fichiers sains, en l'occurance lsass.exe. C'était une solution à tester (mais je ne confirme pas que c'est la solution à ton problème).