Activité disque dur anormale - svchost - netshellicon

On Thu, 15 Feb 2007 16:43:20 +0100, Rosebud
<pasdepub_noremorse@ifrance.com> wrote:

Avez vous des conseils à me donner pour résoudre tout celà ?

Moi, je me munirais, dans l'ordre, de :
- de quoi regarder à qui cause ma machine (cports et wireshark, entre
autres)
- une batterie complète d'outils à trouver les rootkit
- absolument tous les antivirus qui existent (la plupart ont une
version d'éval)
--
Nina

Bonjour,

N'ayant pas trouvé beaucoup de réponses en demandant à mon ami Google, je
m'en remets à vous concernant mon problème.

Mon PC est sous XP SP2, un DD seagate sata2, 1Go de ram etc... avec une
installation toute récente.

Le disque étant un peu plus bruyant que l'ancien, j'ai constaté qu'il y avait
des accès de celui ci régulièrement, par paquets, tout le temps (évidemment
en idle c'est plus flagrant).

J'ai observé et désactivé plusieurs services XP, joué avec le pare-feu,
regardé les processus , fait des scans (kaspersky et d'autres)...

Au début j'ai pu constater que le système au démarrage lançait le processus
gykkcooass.exe localisé dans c:windowssystem32 ; il n'apparait pas dans le
gestionnaire des taches mais seulement visible avec la commande taslist /svc.

Le plus drôle c'est que physiquement sur le disque dur, je n'ai jamais trouvé
la trace de ce fichier !! Fantôme et pourtant à chaque boot, il se charge en
mémoire... bref surement une saleté, aucune réference trouvée avec ce nom sur
le web.
=> demarrage en mode sans echec, modif BDR (run) et au redemarrage normal,
j'ai pu trouver le gykkooass.exe sous /system32 et le mettre en quarantaine,
depuis, plus de trace.

Mais il y autre chose car j'ai toujours des accès fréquents louches (et pas
de processus gourmand en mémoire) ; j'ai utilisé les outils filemon,
processxp etc et voici ce que j'ai de suspect :

des requêtes lancées par explorer.exe vers un fichier ou dossier imaginaire :

windowssystem32netshellicon
documents and settingsprofilenetshellicon
windowssystemnetshellicon
windowsnetshellicon

deux fois de suite et l'action est marquée "NOT FOUND".

Pas de trace de fichier ou dossier netshellicon, pas de clé registre non
plus... un gykkooass-like?

Qu'est ce donc?

Autre piste :

des écritures de fichiers initiées par svchost.exe (pas encore pu discriminer
le service concerné) :

windowssystem32wbemrepositoryFSOBJECTS.DATA
windowssystem32wbemrepositoryFSMAPPING2.MAP
windowssystem32wbemrepositoryFSINDEX.BTR
windowssystem32wbemrepositoryFSOBJECTS.MAP
windowssystem32wbemrepositoryFSINDEX.MAP

C'est quoi ces fichiers constamment écrasés ? A quoi ça sert ?

Une personne a testé pour moi filemon et n'a pas ce genre d'actions avec son
XP.

Avez vous des conseils à me donner pour résoudre tout celà ?

Dans l'immédiat, je vais essayer en mode sans-échec, voir ce qui se passe.

Cdlmt.

L'ami Google à :
http://forums.bit-tech.net/showthread.php?t•430
ou
http://www.hardforum.com/showthread.php?referrerid1629&t39023
Pour netshellicon il trouve des réponses où le Media Player 10 est
incriminé !

--
Olivier

L'ami Google à :
http://forums.bit-tech.net/showthread.php?t•430
ou
http://www.hardforum.com/showthread.php?referrerid1629&t39023
Pour netshellicon il trouve des réponses où le Media Player 10 est
incriminé !

Oui, j'avais lu ça.

Je n'ai plus la requête netshellicon depuis que avg anti syware m'a
trouvé une 20aine de tracking-cookies (virés) (?).
Je n'ai que media player 9, pas le 10 mais j'ai quand même désinstallé
pour voir.

Plus de nouvelles de netshellicon mais par contre les écritures disque
de svchost dans windowswbemrepositoryFS sont toujours là et ce sont
elles qui "grattent" toutes les minutes.

En mode sans-échec, je n'ai pas le problème.

L'ami Google à :
http://forums.bit-tech.net/showthread.php?t•430
ou
http://www.hardforum.com/showthread.php?referrerid1629&t39023
Pour netshellicon il trouve des réponses où le Media Player 10 est
incriminé !

Oui, j'avais lu ça.

Je n'ai plus la requête netshellicon depuis que avg anti syware m'a
trouvé une 20aine de tracking-cookies (virés) (?).
Je n'ai que media player 9, pas le 10 mais j'ai quand même désinstallé
pour voir.

Plus de nouvelles de netshellicon mais par contre les écritures disque
de svchost dans windowswbemrepositoryFS sont toujours là et ce sont
elles qui "grattent" toutes les minutes.

En mode sans-échec, je n'ai pas le problème.

Sinon j'ai ça pour wbem :

http://www.hardforum.com/showthread.php?ty9500&highlight=wbem

Mais pas de correctif trouvé y correspondant...

Après enquête ça semble provenir du service d'infrasctructure de gestion
Windows (winmgnt), c'est lui qui via svchost.exe fait des écritures
toutes les minutes sur le disque :

windowssystem32wbemrepositoryFSOBJECTS.DATA
windowssystem32wbemrepositoryFSMAPPING2.MAP
windowssystem32wbemrepositoryFSINDEX.BTR
windowssystem32wbemrepositoryFSOBJECTS.MAP
windowssystem32wbemrepositoryFSINDEX.MAP

Ce comportement est il normal ou bien traduit il un dysfonctionnement de
WMI ?

;)

Bonjour *Rosebud* :

Après enquête ça semble provenir du service d'infrasctructure de gestion
Windows (winmgnt), c'est lui qui via svchost.exe fait des écritures
toutes les minutes sur le disque :

windowssystem32wbemrepositoryFSOBJECTS.DATA
windowssystem32wbemrepositoryFSMAPPING2.MAP
windowssystem32wbemrepositoryFSINDEX.BTR
windowssystem32wbemrepositoryFSOBJECTS.MAP
windowssystem32wbemrepositoryFSINDEX.MAP

Ce comportement est il normal ou bien traduit il un dysfonctionnement de
WMI ?

;)

Les fichiers que tu a listés ici concernent bien WMI ...

Mais quelle est la cause des accès étranges au disque? Mystère.

1- Fait une vérification de sécurité (virus, spyware et tout le bataclan)

2- Fait l'Entretien préventif.

a) vérifier l'intégrité du disque avec chkdsk comme ceci:

Via l'explorateur Windows:
clic droit sur l'icône du disque
propriétés
onglet "outils"
"vérification des erreurs"
cochez les 2 options et redémarrez le PC
laisser la vérification se compléter

ou en ligne de commande:

Démarrer | exécuter | chkdsk X: /R
où X: est la lettre du DD à vérifier.
Dans le cas du DD système il faut redémarrer.

b) ceci étant fait il faut supprimer les fichiers temporaires comme ceci:

Démarrer | exécuter | cleanmgr
cocher tout sauf la compression et les fichiers Office le cas échéant

ou mieux avec CleanCache de ButtUgly
(ça prend NET Framework pour l'utiliser)
N.B. dans le cas des nettoyages pour Windows
NE PAS virer le dossier "Prefetch" !
http://www.buttuglysoftware.com/

c) puis défragmenter les volumes du disque comme ceci:

Démarrer | exécuter | dfrg.msc
défragmenter tous les volumes...

ou utiliser de meilleurs défragmenteurs tels qu' O&O Defrag ou DiskPerfect

Il est aussi possible de faire des défragmentation ciblées de certains
fichiers ou dossier fréquemments fragmentés
avec PowerDefragmenter + Contig
PowerDefragmenter
www.excessive-software.eu.tt
+
Contig
http://www.sysinternals.com/Utilities/Contig.html

Il est aussi très souhaitable d'utiliser (à chaque boot) PageDefrag:
http://www.sysinternals.com/Utilities/PageDefrag.html

Défragmente les fichiers suivants:

C:hiberfil.sys
C:pagefile.sys
C:WINDOWSSystem32*.evt
C:WindowsSystem32configdefault
C:WindowsSystem32configSAM
C:WindowsSystem32configSECURITY
C:WindowsSystem32configsoftware
C:WindowsSystem32configsystem

Enfin c'est aussi une bonne idée de défragmenter le fichiers de traçage du
prefetch avec la commmande suivante:
%windir%system32Rundll32.exe advapi32.dll,ProcessIdleTasks

Cette commande doit être lancé lorsque l'ordinateur n'est pas utilisé
(en "Idle") et peut être lancée le soir ou la nuit avec le Planificateur
des tâches...

3-
Fait un scan avec HijackThis, ne coche rien et envoi le résultat ici.

Télécharge HJT depuis le site de l'auteur:
[HijackThis pas Starter...]
http://www.spywareinfo.com/~merijn/

Décompresse le fichier (clic droit, décompresser...)
Exécute le programme et choisi "scan and save log"
Sélectionne ce log qui apparaît dans le bloc-notes
et
fait un copié-collé de celui-ci dans ton prochain message

A+

:)

--
Claude LaFrenière

Bonjour *Rosebud* :


Les fichiers que tu a listés ici concernent bien WMI ...

Mais quelle est la cause des accès étranges au disque? Mystère.

1- Fait une vérification de sécurité (virus, spyware et tout le bataclan)

2- Fait l'Entretien préventif.

a) vérifier l'intégrité du disque avec chkdsk comme ceci:

Via l'explorateur Windows:
clic droit sur l'icône du disque
propriétés
onglet "outils"
"vérification des erreurs"
cochez les 2 options et redémarrez le PC
laisser la vérification se compléter

ou en ligne de commande:

Démarrer | exécuter | chkdsk X: /R
où X: est la lettre du DD à vérifier.
Dans le cas du DD système il faut redémarrer.

b) ceci étant fait il faut supprimer les fichiers temporaires comme ceci:

Démarrer | exécuter | cleanmgr
cocher tout sauf la compression et les fichiers Office le cas échéant

ou mieux avec CleanCache de ButtUgly
(ça prend NET Framework pour l'utiliser)
N.B. dans le cas des nettoyages pour Windows
NE PAS virer le dossier "Prefetch" !
http://www.buttuglysoftware.com/

c) puis défragmenter les volumes du disque comme ceci:

Démarrer | exécuter | dfrg.msc
défragmenter tous les volumes...

ou utiliser de meilleurs défragmenteurs tels qu' O&O Defrag ou DiskPerfect

Il est aussi possible de faire des défragmentation ciblées de certains
fichiers ou dossier fréquemments fragmentés
avec PowerDefragmenter + Contig
PowerDefragmenter
www.excessive-software.eu.tt
+
Contig
http://www.sysinternals.com/Utilities/Contig.html

Il est aussi très souhaitable d'utiliser (à chaque boot) PageDefrag:
http://www.sysinternals.com/Utilities/PageDefrag.html

Défragmente les fichiers suivants:

C:hiberfil.sys
C:pagefile.sys
C:WINDOWSSystem32*.evt
C:WindowsSystem32configdefault
C:WindowsSystem32configSAM
C:WindowsSystem32configSECURITY
C:WindowsSystem32configsoftware
C:WindowsSystem32configsystem

Enfin c'est aussi une bonne idée de défragmenter le fichiers de traçage du
prefetch avec la commmande suivante:
%windir%system32Rundll32.exe advapi32.dll,ProcessIdleTasks

Cette commande doit être lancé lorsque l'ordinateur n'est pas utilisé
(en "Idle") et peut être lancée le soir ou la nuit avec le Planificateur
des tâches...

3-
Fait un scan avec HijackThis, ne coche rien et envoi le résultat ici.

Télécharge HJT depuis le site de l'auteur:
[HijackThis pas Starter...]
http://www.spywareinfo.com/~merijn/

Décompresse le fichier (clic droit, décompresser...)
Exécute le programme et choisi "scan and save log"
Sélectionne ce log qui apparaît dans le bloc-notes
et
fait un copié-collé de celui-ci dans ton prochain message

A+

:)

Merci pour cette réponse.
J'ai essayé qq outils anti-spyware, anti-rootkit, antivirus sans grand
résultat.

Voici déjà le log HJT :

Logfile of HijackThis v1.99.1
Scan saved at 18:58:01, on 16/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
E:firewallComodoFirewallcmdagent.exe
C:WINDOWSsystem32dllhost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32CTHELPER.EXE
E:firewallComodoFirewallCPF.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMSN MessengerMsnMsgr.Exe
F:DlHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_11binssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O4 - HKLM..Run: [CTHelper] CTHELPER.EXE
O4 - HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
O4 - HKLM..Run: [COMODO Firewall Pro] "E:firewallComodoFirewallCPF.exe" /background
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:officeOffice10EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O17 - HKLMSystemCCSServicesTcpip..{F5962CDF-15AF-4816-A771-A778A2C004EF}: NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - E:firewallComodoFirewallcmdagent.exe

M'en vais faire un checkdisk à présent ;-)

Bonjour *Rosebud* :

Merci pour cette réponse.
J'ai essayé qq outils anti-spyware, anti-rootkit, antivirus sans grand
résultat.

OK. Alors ce n'est sans doute pas un "malware": c'est déjà ça de gagné.

Voici déjà le log HJT :

C:WINDOWSsystem32dllhost.exe

à part ceci qui indique que les services sont probablement mal configurés
(des services inutiles démarrés...) rien de bien malin dans le Log de HJT.

M'en vais faire un checkdisk à présent ;-)

OK

A+

:)


--
Claude LaFrenière

Bonjour *Rosebud* :

Merci pour cette réponse.
J'ai essayé qq outils anti-spyware, anti-rootkit, antivirus sans grand
résultat.

OK. Alors ce n'est sans doute pas un "malware": c'est déjà ça de gagné.

Voici déjà le log HJT :

C:WINDOWSsystem32dllhost.exe

à part ceci qui indique que les services sont probablement mal configurés
(des services inutiles démarrés...) rien de bien malin dans le Log de HJT.

M'en vais faire un checkdisk à présent ;-)

OK

A+

:)

Bonjour,

J'ai effectué un checkdisk complet (conforme) ainsi que la
défragmentation de tout ce que je pouvais mais c'est pareil, ça ne
change rien.

Est il normal que winmgmt occasionne lacréation des fichiers .dat, .btr,
.map etc aussi souvent ?

Je pensais que ces fichiers n'étaient créés qu'une fois au démarrage...?


;)

Bonjour *Rosebud* :

Bonjour,

J'ai effectué un checkdisk complet (conforme) ainsi que la
défragmentation de tout ce que je pouvais mais c'est pareil, ça ne
change rien.

Est il normal que winmgmt occasionne lacréation des fichiers .dat, .btr,
.map etc aussi souvent ?

Je pensais que ces fichiers n'étaient créés qu'une fois au démarrage...?

;)

Les fichiers dont tu parles sont utilisés par le prefetching. Ils sont mis
à jour par le système au moins une fois tous les trois jours lorsque W xp
fait la défragmentation partielle des fichiers de traçage (fichiers .Pf
dans le dossier prefetch...)

Cependant il n'y a pas d'accès constants au disque comme tu l'indique dans
tes messages... Très étrange cette affaire...

Vérifie ceci:

1- le service d'indexation: il ne doit pas être démarré.
S'il l'est, l'arrêter et le mettre en manuel ou désactivé.

démarrer | exécuter | services.msc ...

vérifie aussi si le service Planificateur des tâches est démarré et en mode
automatique ...

2- Aurais-tu utilisé le compteur de performances par
hasard et oublié de l'arrêter?

démarrer | exécuter | perfmon.msc ...

Pas d'autre idée.

A+

:)
--
Claude LaFrenière