PC lent

PC lent - Virus/Spywares - Windows & Software

Marsh Posté le 17-09-2007 à 14:01:21    

Bonjour j'ai cherché un topic hijackthis car j'ai quelques questions sur 3 lignes mais je n'en ai pas trouvé donc j'ai créé ce topic.
Mon pc souffre de lenteur des derniers temps. J'ai souvent des pbs avec firefox (qui me prends 99% de ressources processeur).
Avast ne trouve rien.
J'ai lancé hijackthis et j'ai corrigé quelques trucs grace a une analyse en ligne. Hijackthis.de me détecte encore 3 lignes de programme inconnu, j'aimerais savoir si elles sont dangereuses.

Code :
  1. O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
  2. O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
  3. O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')


 
Merci d'avance !
ps : il s'agit d'un 2400+ avec 512 de ram qui tourne avec un disque dur pas tres en forme je crois sur xp coccinelle.

Reply

Marsh Posté le 17-09-2007 à 14:01:21   

Reply

Marsh Posté le 17-09-2007 à 14:11:21    


 
C'est quoi ça?


---------------

Reply

Marsh Posté le 17-09-2007 à 14:20:50    

La 1ère et la 3ème ligne déplace un fichier sur lui-même. Ce qui est impossible à faire.
Pour ce qui est de la 2ème, je ne peux pas t'aider.
 
Fait une sauvegarde de ta base de registres, et supprime la 1ère et 3ème ligne puis redémarre.
 
Si t'as encore un problème, essaie la 2ème.

Reply

Marsh Posté le 17-09-2007 à 14:48:05    

Merci. Sinon xp coccinelle, c'est une version d'xp modifiée (afin d'éviter d'avoir a réinstaller sp2, les mises a jour, les chgmts dans le registre etc... à chaque réinstallation de windows) : http://xpcoccinelle.fredisland.net/

Reply

Marsh Posté le 17-09-2007 à 15:04:20    

vi mais sur tout XP modifié peuvent apparaitre d'autres problèmes...

 

En faisant une recherche sur le net, j'ai vu quelqu'un qui avait le même problème que toi et avait aussi un XP modifié. Mais il disait avoir le même problème sous un XP officiel. On peut le croire comme ne pas le croire.

 

Si le windows n'est pas standard, c'est difficile de savoir d'où vient le problème: d'un virus ou de l'OS? :spamafote:


Message édité par ogaby le 17-09-2007 à 15:05:14
Reply

Marsh Posté le 17-09-2007 à 18:05:48    

Oui je sais, je répondais juste à darren qui ne connaissait pas cette version.

Reply

Marsh Posté le 06-04-2009 à 17:11:51    

Bonjour,  
Je viens de trouver ce topic en cherchant "syssetup.dll", une partie semble correspondre a mon probleme personel.  
J'ai moi meme dans le demarrage du systeme 4 fois la ligne correspondant au deplacement d'un fichier sur lui meme comme précisé si justement par Ogaby.  
 
Il s'agit d'un windows XP NON MODIFIé, tout ce qu'il y a de plus officiel.  
 
Le proprietaire du PC se plaint de lenteurs, et au démarrage de l'ordinateur une fenetre "explorer" est ouverte sur "C:\WINDOWS\SYSTEM".
 
J'ai obtenu la liste des applications de démarrage avec Spybot (si si il sait ausi le faire) ce qui explique la syntaxe legerement differente de Hijackthis.
 
A noter qu'apres chaque ligne "cmd move" j'ai une execution de TSCUNINSTALL.
 
Ici je colle une des 4 series, le "where" etant ce qui change pour les 4 (apparemment il s'agit des differents utilisateurs de l'ordi)
 
Located: HK_CU:RunOnce, nlsf
  where: .DEFAULT...
command: cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
   file: C:\WINDOWS\system32\cmd.exe
   size: 400896
    MD5: F44BB9A608C0577776022E2E9132325D
 
Located: HK_CU:RunOnce, tscuninstall
  where: .DEFAULT...
command: %systemroot%\system32\tscupgrd.exe
   file: C:\WINDOWS\system32\tscupgrd.exe
   size: 44544
    MD5: D2D52012C5A3CD41FEC0F090A8E47EE7
 
Le "where" prend successivement les valeurs .DEFAULT , S-1-5-19, S-1-5-20 et S-1-5-21.
 
A noter encore que ce sont des clés RUNONCE, qui ne sont donc censées s'executer qu'une seule fois puis disparaitre du registre, ce qui n'est apparemment pas le cas...
 
Je ne sais pas s'il s'agit d'un virus pour l'instant, une analyse est en cours avec MBAM.  
 

Reply

Marsh Posté le 07-04-2009 à 13:47:57    

Bonjour,  
Apres analyse complete par MBAM aucun malware trouvé.  
J'ai retrouvé les 4 séries dont je parle dans le post précédent sur un autre pc qui fonctionne parfaitement, donc apparemment c'est un truc normal du systeme...  
Le PC "lent" est reparti comme il est venu, j'ai pas reussi a resoudre le probleme de l'explorateur qui s'ouvre sous "c:\windows\system" automatiquement a chaque démarrage. Si quelqu'un a une idée a ce sujet... :)
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed