processeur bouffé par explorer.exe
Le
zuter cherri
bonjour à tous
je me tourne enfin vers un newsgroup plutôt que de chercher par moi même la
raison de ce pénible problème
j'espère qu'il y aura quelqu'un d'assez efficace pour résoudre le gros
soucis ce qui aidera également bon nombre d'internautes dans le même cas
Explication : très souvent, à n'importe quel moment, l'ordinateur se met à
mouliner tout ce qu'il peut. l'affichage du contenu d'une quelconque fenêtre
peut mettre plusieurs minutes voire pas d'affichage carrément
En faisant ctrl-alt-suppr, nous nous apercevons que le process
"explorer.exe" (et je n'ai pas écris "iexplorer.exe) se retrouve en tête
d'utilisation du processeur, en bouffant 99% des ressources de la bête
Pour y remédier, je n'ai trouvé qu'un remède de fortune, supprimer le
process, ce qui a pour résultat, de me redonner la globalité des ressources
mais plus d'explorer, c'est à dire, plus d'explorateur windows ou de menu
démarrer,
Evidemment, il suffit d'exécuter une nouvelle tâche "explorer", à partir du
même gestionnaire de tâches pour retrouver mon explorateur et tout ce qui va
avec
Malgré cela, il se peut aussi qu'immédiatement, le process reprenne 99% des
ressources et rebloque la manipulation dans windows ce qui est evidemment
très pénible !
Il m'est arrivé de devoir refaire cette manip deux ou quatre fois avant de
pouvoir enfin, travailler convenablement
J'ai eu beau vérifier 50 fois mon système : pas de virus
J'ai eu beau regarder sur les moteurs de recherche ce qui pouvait se dire
dessus : aucune réponse très pertinente, juste le même problème qui revient
mais pas de soluces
Je compte donc qur quelqu'un d'entre vous, habitués de ce forum, pour nous
donner à tous la solution
Evidemment, la solution de formater reste une possibilité mais dois je vous
rappeler aussi que lorsque votre voiture n'avance plus, il suffit parfois d'y
mettre du carburant plutôt que de la jeter pour en racheter une
vous remerciant par avance de toute l'aide efficace que vous donnerez à tous
ceux qui n'arrivent pas à résoudre ce gros blème
je me tourne enfin vers un newsgroup plutôt que de chercher par moi même la
raison de ce pénible problème
j'espère qu'il y aura quelqu'un d'assez efficace pour résoudre le gros
soucis ce qui aidera également bon nombre d'internautes dans le même cas
Explication : très souvent, à n'importe quel moment, l'ordinateur se met à
mouliner tout ce qu'il peut. l'affichage du contenu d'une quelconque fenêtre
peut mettre plusieurs minutes voire pas d'affichage carrément
En faisant ctrl-alt-suppr, nous nous apercevons que le process
"explorer.exe" (et je n'ai pas écris "iexplorer.exe) se retrouve en tête
d'utilisation du processeur, en bouffant 99% des ressources de la bête
Pour y remédier, je n'ai trouvé qu'un remède de fortune, supprimer le
process, ce qui a pour résultat, de me redonner la globalité des ressources
mais plus d'explorer, c'est à dire, plus d'explorateur windows ou de menu
démarrer,
Evidemment, il suffit d'exécuter une nouvelle tâche "explorer", à partir du
même gestionnaire de tâches pour retrouver mon explorateur et tout ce qui va
avec
Malgré cela, il se peut aussi qu'immédiatement, le process reprenne 99% des
ressources et rebloque la manipulation dans windows ce qui est evidemment
très pénible !
Il m'est arrivé de devoir refaire cette manip deux ou quatre fois avant de
pouvoir enfin, travailler convenablement
J'ai eu beau vérifier 50 fois mon système : pas de virus
J'ai eu beau regarder sur les moteurs de recherche ce qui pouvait se dire
dessus : aucune réponse très pertinente, juste le même problème qui revient
mais pas de soluces
Je compte donc qur quelqu'un d'entre vous, habitués de ce forum, pour nous
donner à tous la solution
Evidemment, la solution de formater reste une possibilité mais dois je vous
rappeler aussi que lorsque votre voiture n'avance plus, il suffit parfois d'y
mettre du carburant plutôt que de la jeter pour en racheter une
vous remerciant par avance de toute l'aide efficace que vous donnerez à tous
ceux qui n'arrivent pas à résoudre ce gros blème
Poser une question
Bonjour,
Est-ce que vous avez vérifié votre système avec plusieurs antiviraux ?
Lesquels ?
Jeter un oeil ici
http://www.d2i.ch/pn/az/e.html#e023
Après avoir vérifié avec plusieurs antiviraux et antispywares et
"digérer" le lien fourni, vous pouvez poster ici votre log HIJACKTHIS
que je veux bien tenter d'analyser à condition que vous ayez au
préalable pris la peine de lire ceci :
http://www.zebulon.fr/articles/anal...this-1.php
Effectivement, le formatage n'est pas la solution... XP se réparant
plutôt bien...
Cordialement, Pascal.
--
Si F1 t'a pas aidé, si Gougueule t'a méprisé, tu peux sur ces forums ta
question alors poser :-)
Pour éventuellement me joindre en privé, enlevez DoubidoU de mon
adresse...
réponse de votre part... je croyais qu'en cliquant "non", cela ouvrirai une
nouvelle fenetre pour juste poursuivre la discussion...
bien, j'ai donc suivi scrupuleusement vos indications :
bien entendu, un antivirus : kaspersky qui est parfaitement à jour
un antihacker (meme éditeur) sous sonctrôle
je ne suis pas sûr que plusieurs antivirus soient forcément une bonne idée...
ce que je veux dire, c'est que l'installation de plusieurs antivirus a
tojours été déconseillée...
j'ai donc fais un scan a partir de secuser.com, qui n'a rien trouvé...
lorsque je lance adware search and destroy, il trouve quelques trucs et les
efface
lorsque je lance bps spywares, il trouve une 50 taine de fichiers infectés,
je les traite, et certains, parfois, ne sont pas éffacés en raison de leur
utilisation...
je vien de télécharger a², qui a également trouvé un malware... que j'ai
effacé
enfin, j'ai fais une analyse par HIJACKTHIS et comme vous le proposiez, je
vous le donne : en texte brut puisqu'on ne peut pas joindre de fichier,
semble t il...
en tout cas, merci de votre aide qui doit pouvoir en aider pleins d'autre
aussi...
Logfile of HijackThis v1.99.1
Scan saved at 08:07:19, on 05/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32CTSvcCDA.exe
C:Program FilesFileZilla ServerFileZilla Server.exe
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32wdfmgr.exe
C:Program FilesCreativeShareDLLCtNotify.exe
C:Program FilesElaborate BytesCloneCDCloneCDTray.exe
C:Program FilesAdobeAcrobat 7.0DistillrAcrotray.exe
C:Program FilesiTunesiTunesHelper.exe
C:Program FilesQuickTimeqttask.exe
C:WINDOWSSystem32RUNDLL32.EXE
C:Program FilesMSN MessengerMsnMsgr.Exe
C:Program FilesShareazaShareaza.exe
C:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE
C:Program FilesCreativeShareDLLMediaDet.Exe
C:Program FilesiPodbiniPodService.exe
C:Program FilesKaspersky LabKaspersky Security SuiteKaspersky
Anti-HackerKAVPF.exe
C:Program FilesMicrosoft OfficeOFFICE11OUTLOOK.EXE
C:Program FilesMicrosoft OfficeOFFICE11WINWORD.EXE
C:Program FilesMicrosoft ActiveSyncWCESMgr.exe
C:Program FilesQuickTimeQuickTimePlayer.exe
C:WINDOWSSystem32taskmgr.exe
C:WINDOWSexplorer.exe
C:Program Filesa-squareda2guard.exe
C:Documents and SettingsFabienne SalmonMes documentsMes fichiers
reçusHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.fr/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:Program
FilesSpybot - Search & DestroySDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910}
- C:Program FilesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
C:Program FilesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll
O4 - HKLM..Run: [Disc Detector] C:Program
FilesCreativeShareDLLCtNotify.exe
O4 - HKLM..Run: [KAVPersonal50] "C:Program FilesKaspersky LabKaspersky
Security SuiteKaspersky Anti-Virus Personalkav.exe" /minimize
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [FileZilla Server Interface] "C:Program FilesFileZilla
ServerFileZilla Server Interface.exe"
O4 - HKLM..Run: [CloneCDElbyCDFL] "C:Program FilesElaborate
BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 - HKLM..Run: [CloneCDTray] "C:Program FilesElaborate
BytesCloneCDCloneCDTray.exe"
O4 - HKLM..Run: [Acrobat Assistant 7.0] "C:Program FilesAdobeAcrobat
7.0DistillrAcrotray.exe"
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe"
-atboottime
O4 - HKCU..Run: [NvMediaCenter] RUNDLL32.EXE
C:WINDOWSSystem32NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe"
/background
O4 - HKCU..Run: [Shareaza] "C:Program FilesShareazaShareaza.exe" -tray
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft
ActiveSyncWCESCOMM.EXE"
O4 - HKCU..Run: [Skype] "C:Program FilesSkypePhoneSkype.exe" /nosplash
/minimized
O4 - HKCU..Run: [BPSANTISPY] C:Program
FilesBulletProofSoft.comSpywareRemoverSpyware.exe /STARTUP
O4 - HKCU..Run: [eMuleAutoStart] C:Program FileseMuleemule.exe -AutoStart
O4 - HKCU..Run: [a-squared] "C:Program Filesa-squareda2guard.exe"
O4 - Startup: Démarrer Microsoft Office Outlook.lnk = C:Program
FilesMicrosoft OfficeOFFICE11OUTLOOK.EXE
O4 - Startup: RegFreeze.lnk = C:Program FilesRegFreezeregfreeze.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:Program
FilesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant -
res://C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF -
res://C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF
existant - res://C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF -
res://C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF
existant - res://C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier
Adobe PDF - res://C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier
PDF existant - res://C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~3OFFICE11EXCEL.EXE/3000
O9 - Extra button: Créer un Favori de l'appareil mobile -
{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:Program FilesMicrosoft
ActiveSyncinetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -
C:Program FilesMicrosoft ActiveSyncinetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... -
{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:Program FilesMicrosoft
ActiveSyncinetrepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:PROGRA~1MICROS~3OFFICE11REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://update.microsoft.com/windows...6403783468
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/...scan53.cab
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) -
http://mmt.bouyguestelecom.fr/mmawa...Player.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/M...loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:Program FilesFichiers
communsAdobe Systems SharedServiceAdobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -
C:WINDOWSSystem32CTSvcCDA.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown
owner - C:Program FilesFileZilla ServerFileZilla Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel
32IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:Program
FilesiPodbiniPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:Program FilesKaspersky
LabKaspersky Security SuiteKaspersky Anti-Virus Personalkavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
C:WINDOWSSystem32nvsvc32.exe
Je vous réponds assez rapidement car je viens de prendre connaissance
de votre réponse mais je dois partir et m'absenter pour la journée...
Bien....
Oui, j'aurais dû préciser que je pensais bien sûr à l'analyse par des
scans en ligne et en donner quelques liens... Bon réflexe... il faut
éviter la présence de plus d'un antivirus résidant en mémoire...
D'acc.
Ici, il faudrait dans un premier temps, recommencer ces opérations
antisywares en mode sans échec. Tout, probablement, ne sera pas
effacé... Pour ceux qui resteront, il faut donner le nom afin que nous
trouvions une parade (qui existe à n'en pas douter).. Donc AD AWARE et
SPYBOT SEARCH ET DESTROY en mode sans échec d'abord...
OK.
Pour l'analyse du fichier log, je vous demande de bien vouloir
patienter jusqu'à ce soir... à moins qu'un autre ne prenne la relève.
Donc... à ce soir... Bon courage.
Cordialement, Pascal.
--
Si F1 t'a pas aidé, si Gougueule t'a méprisé, tu peux sur ces forums ta
question alors poser :-)
Pour éventuellement me joindre en privé, enlevez DoubidoU de mon
adresse...
[...]
Complément et analyse du log :
Je vous recommande de passer en SP2, une fois que votre système
fonctionne normalement : son parefeu (même s'il ne filtre que le IN)
suffit amplement à filtrer un PC de particulier "normal" (je l'utilise
et j'ai abandonné mon parefeu tiers qui était KERIO 2.1.5)... Vous
pouvez, bien sûr, continuer à utiliser le parefeu de KASPERSKY (que je
ne connais pas et dont j'ignore s'il désactive automatiquement celui de
XP)
Les observations s'appliquent à toutes les lignes précédentes jusqu'à
nouvelle observation ; les renvois [1] et [2] (et leur conséquence)
sont précisés en fin de page...
Je n'ai pas donné le nom des applications correspondantes à chaque
process (en entrant leur nom ou la ligne complète dans votre moteur de
recherche, vous trouverez facilement ; si vous ne trouvez pas, posez la
question car il est important que vous maitrisiez, compreniez, ce qui
tourne sur votre PC)
Il est bien entendu que lorsque je ne fais pas de commentaire, cela
signifie que l'emplacement et l'orthographe du processus sont
corrects... ce qui ne signifie pas qu'un maliciel n'a pas emprunté le
nom et l'emplacement... Seul un antivirus peut détecter dans ce dernier
cas un maliciel répertorié... ou comparateur de checksum et assimilé...
En synthèse, je n'ai rien trouvé de méchant (tout au plus selon moi de
"mauvais" (perfectibles) réglages qui ralentissent votre PC) ; ne
connaissant par Shareaza et e-mule que vous utilisez et ne pratiquant
pas le P2P, je ne peux que vous incitez à vérifier que vous maitrisez
votre parefeu et bien sûr de passer systématiquement à l'antivirus les
fichiers téléchargés (immédiatement et après installation)...
Donc, cela ne nous dit pas pourquoi votre explorer.exe explose votre
RAM... Est-ce que vous avez bien appliqué la manipulation dans le
registre expliquée dans le lien précédemment cité, ainsi que la méthode
du démarrage sélectif ?
http://www.d2i.ch/pn/az/e.html#e023
Si, les antiviraux, antispywares, méthodes exposées dans le lien (voir
la procédure de démarrage sélectif), ne permettent pas de localiser la
source du problème... dernière hypothèse de ma part : l'un des
antimaliciels auparavant et systématiquement passés a détruit un
malware squattant un fichier système de XP et l'a corrompu : donc
SFC /SCANNOW (à entrer dans Démarrer-Exécuter)
Je me permets de vous rappeler que l'accès à ces forums est non modéré
et donc je vous conseille d'attendre qu'un tiers, éventuellement,
commente mes remarques... car je ne détiens pas la science infuse et
sur ce sujet sensible, il est facile de passer à côté d'une ligne
suspecte...
Tous Processus ci-dessus sont légitimes...
Idem bien que non reconnu par HIJACKTHIS
Tous processus légitimes.
mais semble bénin. Reliquat d'une HotBar désinstallée ? A fixer sauf
avis contraire argumenté [1]
demand" ; suis pas sûr de moi... A tester car sans risque...
paramètre d'affichage, plus nécessaire.
vous voulez mais je n'utilise que des gratuits (mais dans le genre
effectivement je ne connais que MAS qui soit résidant en mémoire)
ait pas d'autre (antivirus en mémoire)... Kaspersky par exemple...
(en alternant éventuellement suffit) ; je sais que vous pratiquez le
P2P, source probable de vos ennuis, mais les autres antispywares sont à
lancer manuellement après une installation ou séance de surf... donc
[2]
Pour les items 023, qui concernent les services autres que ceux par
défaut de XP, il y a lieu de vérifier qu'ils ne sont pas en démarrage
automatique : les mettre en manuel ; en principe, "on demand", ils
démarrent, ce qui permet d'alléger la charge de démarrage et accélère
ce dernier ; la RAM est libérée d'autant jusqu'à ce que vous ayez
besoin de ces programmes ; donc à vous de voir...
-----------
[1] A fixer avec Hijackthis
[2] Peut se lancer manuellement quand vous en avez besoin ("on
demand"); pas besoin de le charger automatiquement au démarrage car le
ralentit et augmente la charge en RAM : ceci peut être désactivé (et
réactivé à la demande) avec un de ces outils : CODESTUFF STARTER ou
AUTORUNS ou StartUpRun ou STARTUP CONTROL PANEL...
-----------
Cordialement, Pascal.
--
Si F1 t'a pas aidé, si Gougueule t'a méprisé, tu peux sur ces forums ta
question alors poser :-)
Pour éventuellement me joindre en privé, enlevez DoubidoU de mon
adresse...