Mon PC rame à cause d'un processus shell382.exe ?? - Win NT/2K/XP - Windows & Software
Marsh Posté le 18-01-2006 à 15:50:38
Installe l'applicatif "Spybot - Search & Destroy", mets ses bases à jour et scanne ton PC avec.
Ca sent le trojan ça ...
Marsh Posté le 18-01-2006 à 16:03:24
explorer monte à 100 % quand il scanne des fichiers vidéos pour récolter des informations (résolutions, durée...etc) Ca peut se désactiver. Plus les fichiers vidéos sont gros, et plus il y en a et plus il rame.
Par contre, ton processus shell382 semble être inconnu au bataillon. Bizarre.
On trouve du shell32 http://cs76.free.fr/processus-s.php mais même google ne semble pas connaître shell382
Marsh Posté le 18-01-2006 à 16:08:40
c une merde qui se trouve dans quelque script de chat je crois
Marsh Posté le 18-01-2006 à 16:48:36
En effet ya rien sur google ...
G scanné monPC avec spybot mais ca n'a rien donné
Quand je termine le processus il me dit ke le programme ne répond pas ensuite le cpu redescend à un niveau normal ms dès ke j'ouvre un dossier c reparti ...
Je ne sais pas si cela vient d'un script de chat car cela me le fait dès le 1er dossier sans avoir de msn ou ICQ d'ouvert...
Je me suis baladé dans regedit mais je n'ai pas vu grand chose et mes connaissances y sont limitées.
Je pense que cela vient d'une merde d'explorer car parfois cette application win32 n a pas shell386 comme processus à 99% mais explorer...
Marsh Posté le 18-01-2006 à 17:00:47
Avec un nom comme ça, aussi proche d'un fichier réel de Windows, ca sent le bon gros virus...
Marsh Posté le 18-01-2006 à 17:18:07
Citation : explorer monte à 100 % quand il scanne des fichiers vidéos pour récolter des informations (résolutions, durée...etc) Ca peut se désactiver. Plus les fichiers vidéos sont gros, et plus il y en a et plus il rame. |
T'as pas répondu, t'as des vidéos sur ton PC.
Parce que ça ressemble quand même à un pb de windows bien connu.
Marsh Posté le 18-01-2006 à 17:20:26
Je suis ok, ça à l'air d'être une saloperie.
Tu peux me dire ce que tu as dans la clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Marsh Posté le 18-01-2006 à 17:24:36
Dézolé tout le monde c shell386 qui me cause des merdes et non pas 382 ... mea culpa ...
oui g des vidéos mais le processus monte meme avec des dossiers tout petit sans video...
g trouvé un lien qui parle de ce shell386 //forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/razespyware-395825/messages-1.html
je vais fouiller ca
enkor désolé pour ma faute de frappe !
Marsh Posté le 18-01-2006 à 17:36:06
j'ai çà fly010:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\optionnalcomponents
avec dedans 3 dossiers:IMAIL MAPI et MSFS
mais apparement cela ne donne pas grand chose ...
Marsh Posté le 18-01-2006 à 17:45:31
tu es allé un peu trop loin dans l'arbo, c'est dans la clé run que tu dois regarder, pas dans \optionnalcomponents
Marsh Posté le 18-01-2006 à 17:53:10
ok j y retourne
sinon g trouvé ca sur un lien :
"C:\WINDOWS\System32\shell386.exe
Le fichier est signé Microsoft et d'après Kaspersky, il est saint.
- Compacté Aspack (louche pour du microsoft)
- Visual Basic
- Une fois décompacté je trouve ces références dans le fichier: hxxp://pills-catalog(...) et hxxp://entplanet(...) pour un fichier signé microsoft, c'est encore un peu plus louche...
bref, il apparait dans les process de Hijack, mais aucunes traces plus loin dans le log... "
Bref ca pue tjrs !
Marsh Posté le 18-01-2006 à 17:55:02
Pas de fichier shell386.exe sur mon XP. Et puis jusqu'à maintenant tu as parlé de shell382.exe..
Marsh Posté le 18-01-2006 à 18:00:26
oki,
tu as essayé de passer hijackthis ?
Je pense également que c'est louche vu les pointages, malgré kaspersky.
As tu par hazard fais une copie dde ton registre à ta première install windows ?
Si oui, je te conseille de la restaurer, sinon, je virerais le fichier du disque et les liens registres.
Marsh Posté le 18-01-2006 à 21:09:55
non hélas g pa de copie ...
je vais essayer de virer le fichier et les liens registres
sinon g essayé hijackthis
voici le log :
Logfile of HijackThis v1.99.1
Scan saved at 21:03:39, on 18/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\AMD\PowerNow!\GemServ.exe
C:\Program Files\AMD\PowerNow!\gemback.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\shell386.exe
C:\Documents and Settings\Propriétaire\Bureau\antispy\---+ mieux---\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:4480
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O1 - Hosts: 1089288654 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: winapi32.MyBHO - {7A533235-A128-434B-9F8A-9300A544D191} - C:\WINDOWS\System32\winapi32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vmlib] vmlib.exe
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Registration-Studio 8 SE.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Startup: Club Internet.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 7449076720
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.0_03) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DFCEAB7-EB43-49F8-8917-81F3453FF74F}: NameServer = 85.255.114.14,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{38614A25-2DEE-4F72-A7C0-31E8315D250E}: NameServer = 85.255.114.14,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{92AA644E-E93E-4A4D-87B2-B577B1A499D2}: NameServer = 85.255.114.14,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{A08D535F-8C5E-4CCA-A52C-5758ECCDFE9C}: NameServer = 85.255.114.14,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF85EE46-8D2A-4350-B1A4-FA3EDD9691E7}: NameServer = 85.255.114.14,85.255.112.101
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DFCEAB7-EB43-49F8-8917-81F3453FF74F}: NameServer = 85.255.114.93,85.255.112.128
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DFCEAB7-EB43-49F8-8917-81F3453FF74F}: NameServer = 85.255.114.14,85.255.112.101
O17 - HKLM\System\CS3\Services\Tcpip\..\{0DFCEAB7-EB43-49F8-8917-81F3453FF74F}: NameServer = 85.255.114.14,85.255.112.101
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O19 - User stylesheet: (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Program Files\AMD\PowerNow!\GemServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
Marsh Posté le 18-01-2006 à 21:25:37
Rooh ! Encore un Windows XP pas du tout mis à jour. Allez hop...install du SP2 et mises à jour...c'est le strict minimum !
Marsh Posté le 18-01-2006 à 21:26:14
g viré le fichier et les registres, g redémarré mais dés le 1er dossier ouvert shell386.exe est revenu ...
De + Adminmaster a souligné que c 1 merde de script de chat et en effet, je viens de voir ke ICQ ,MSN etsoulseek plante dès le début sans toutefois monter le cpu à 100%..
Bref je m'enfonce
Marsh Posté le 18-01-2006 à 22:27:41
sp2 et mise a jour ok et apres redémarrage mes icq MSN ... remarchent ms le shell386.exe aussi
G fait 1 recherche de ce shell avec regsrch mais il n' a rien trouvé ...
Marsh Posté le 18-01-2006 à 22:44:32
Vire ca pour commencer
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
Marsh Posté le 19-01-2006 à 14:06:37
Feadzy a écrit : ok j y retourne |
Effectivement, comme les autres je pense à un bon gros virus. De plus, Kaspersky peut être rendu "aveugle" par certains virus qui le ciblent comme étant un "programme à abattre".
http://www.trendricro.fr/ est ton ami (scan en ligne grace à la fonction Housecall).
Marsh Posté le 19-01-2006 à 16:18:07
Salut
Bon tout semble rentrer dans l'ordre , je n'ai plus ces pb de cpu à 100% qd j ouvre 1 dossier et tt a l'air de rouler !!
Voici les infos ke g trouvé (enfin la démarche ke j ai suivie pr éradiquer ce shell386.exe )
nettoyer réguliérement avec
Ad-Aware (gratuit) :
http://telecharger.01net.com/windo [...] 11643.html
Le patch en Français pour Ad-Aware (gratuit) :
http://telecharger.01net.com/windo [...] 25543.html
Spybot (gratuit) :
http://telecharger.01net.com/windo [...] 26157.html
a-squared
http://www.emsisoft.net/fr/software/download/
ewido (dowload)
http://www.ewido.net/fr/download/
spycatcher express free
http://www.tenebril.com/downloads/
regcleaner ( nettoyeur de registre)
http://www.01net.com/windows/Utili [...] /4894.html
- et cleanup40 (nettoyeur de cookies+temps+tempos+prefetch+historique+etc..)
http://pageperso.aol.fr/balltrap34/democleanup.htm
¤Télécharger CleanUp40 (qui élimine les fichiers temporaires) sur ce lien : http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
------------
1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)
2. desactive ta restauration (pour win xp ) comme ceci :
clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique
3 . affiche les fichier cacher comme ceci :
clicker sur demarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Puis fais «Ok» pour valider les changements.
Decocher masquer les extentions dont le type est connu
4 - ensuite va dans hijack
fixe ces lignes
O1 - Hosts: 1089288654 auto.search.msn.com
O2 - BHO: winapi32.MyBHO - {7A533235-A128-434B-9F8A-9300A544D191} - C:\WINDOWS\System32\winapi32.dll
O4 - HKLM\..\Run: [vmlib] vmlib.exe
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.0_03) -
+ ts les 017
-----
5 - va dans :
C:\WINDOWS\System32\C:\WINDOWS\System32\winapi32.dll
supprime "winapi32.dll"
-------
6 - recherche et supprime
vmlib.exe
--------
7 - scan avec
spybot
ad-aware
ewido
vire tte sauvegarde
-----
8 - vide poubelle
-------
9 - redémarre en normal
------------
10 - fais trajet 2 & 3 à l envers
---------
11 - remets un hijac
Voila merci à tous !
Bonne Journée !
Marsh Posté le 18-01-2006 à 15:46:55
Hello !
Dès que j'ouvre un de mes dossiers windows ,une application win32 démarre et mon cpu monte à 100%.
Le processus s'appelle shell382 (???). J'ai cherché des infos sur ce "shell382" mais je n'ai rien trouvé ...
Je n'ai par contre pas de pb avec mes softs, le cpu reste calme !
Apparemment ce n'est pas un virus mais parfois également EXPLORER me monte aussi le cpu à 100% sans raison ...
Est ce que quelqu'un aurait plus d'infos ??
Merci d'avance.