Impression d'un virus ntoskrnl.exe

[Normandy]

Bonjour, bonsoir,

Je fais appel à tout personne pouvant m'aider pour résoudre mon problème:

Récemment, mon ordinnateur portable HP est devenu incroyablement lent (CPU utilisé a 100%).
Ainsi c'est en regardant le gestionnaire des taches que j'ai remaqué le processus System (prétendument décrit comme NT Kernel & System), situé a C:\Windows\system32\ntoskrnl.exe

Ainsi en voulant ouvrir son emplacement, cela me renvoie au bureau, par ailleurs ce processus est très suspect car c'est le seul dont "system32" est en minuscule....

J'ai lancé un scan avec Avast et Spybot qui n'ont rien trouvé, j'ai aussi essayé Malwarebytes, et il a trouvé quelque chose (trojan.agent: fasoidi.exe) mais cela n'a rien changé au problème...

Je ne sais plus quoi faire, et j'aimerais vraiment éviter de formater mon ordi.

Merci d'avance a toute personne qui peut m'aider ou me donner des pistes.

[Malekal_morte]

Salut,

Spybot sert à rien, désinstalle le.

A mon avis, t'es pas infecté.


Fais une capture d'écran du gestionnaire de tâche avec les processus au complet et joint le en pièce jointe d'un message.

~~

Passe un coup de TDSSKiller : http://forum.malekal.com/tdsskiller-kas ... 28637.html
Poste le rapport ici.


puis :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

[Normandy]

Alors tout d'abord merci pour ton aide:

Tu penche pour le fait que je ne sois pas infecté, mais ce ntoskrnl.exe introuvable est quand même inquiétant non ? Pas ailleurs le CPU a 100% aussi...

Voici les screenshots

- Les processus qui utilisent le plus le CPU:
http://pjjoint.malekal.com/files.php?id ... 3y13q13w15

- Les processus par ordre alphabétique:
http://pjjoint.malekal.com/files.php?id ... t6f10v14p8
http://pjjoint.malekal.com/files.php?id ... 3p9d15j8r8

En ce qui concerne tdsskiller, il n'a rien trouvé

Voici OTL :
-Rapport OTL.txt:
http://pjjoint.malekal.com/files.php?id ... f12h5b7h13


Edit: voilà OTL ajouté et screens posté sur pjjoint

[Malekal_morte]

ntoskrnl.exe c'est un processus systèmes.

La CPU est à 34% sur ta capture.

[Normandy]

Oui après m’être renseigné j'ai compris que c’était le blue screen d'erreur, mais certains sites disent que il ne devrait jamais apparaitre sur le gestionnaire des taches. Et aussi je pense cela bizarre que son chemin d'accès soit erroné non ?

[Malekal_morte]

Y a rien d'anormal.

[Normandy]

Hum... mon pc rame toujours autant...
alors ce ntoskrnl introuvable est normal ?

Tu aurais d'autres pistes ? Peut être si je fais corriger sur OTL ça ne change rien ?.... pourtant l'ordi a à peine 6 mois...

[Malekal_morte]

Allez dans le Panneau de Configuration puis Programmes et Fonctionnalités
Désinstalle :
Conduit
Vuze remote Toolbar.
Spybot <= sert à rien.

A supprimer des extensions Firefox : Menu Outils / Modules Complémentaires et Extension - voir http://forum.malekal.com/firefox-extens ... 36057.html

~~

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2012.03.19 22:36:10 | 000,000,000 | ---D | C] -- C:\Users\Drita\AppData\Roaming\Palaukw
[2012.03.19 22:36:10 | 000,000,000 | ---D | C] -- C:\Users\Drita\AppData\Roaming\Iqhu
[2011.09.05 18:07:52 | 000,000,000 | ---D | M] -- C:\Users\Drita\AppData\Roaming\RenPy

* redemarre le pc sous windows et poste le rapport ici

[Normandy]

Voila j'ai tout fait, malheureusement je ne constate aucun changement encore, en tout cas merci pour ton aide.
Je dois sans arrêt être en mode sans échec, sinon je ne peux quasiment rien écrire, tellement ça rame.... donc je pense que ça doit être un problème de software et non de hardware ?

Le rapport:

========== OTL ==========
C:\Users\Drita\AppData\Roaming\Palaukw folder moved successfully.
C:\Users\Drita\AppData\Roaming\Iqhu folder moved successfully.
C:\Users\Drita\AppData\Roaming\RenPy\Torrey & the Vampire folder moved successfully.
C:\Users\Drita\AppData\Roaming\RenPy\Project X-1283467189 folder moved successfully.
C:\Users\Drita\AppData\Roaming\RenPy folder moved successfully.

OTL by OldTimer - Version 3.2.39.2 log created on 04012012_141435

[Malekal_morte]

est ce que le fichier C:\Windows\system32\consrv.dll existe?

[Normandy]

Non, je ne l'ai pas trouvé

[Malekal_morte]

Fais une restauration du système déjà pour voir.

[Normandy]

Une restauration système ? à un point antérieur ?
Je peux pas parce que croyant que j'avais un virus, j'ai désactivé la restauration, je ne l'ai réactivé que hier... En plus, le problème du CPU dure depuis plus d'un mois.

[Malekal_morte]

Ca c'est pas une super bonne idée :/

Désinstalle Avast, voir si c'est pas lui qui pète un boulon.

[cp290547]

bonsoir
j'avais eu quelques BSODs du :peut-etre à ntkrnlpa.exe, ntoskrnl.exe, iaStor.sys, hal.dll ,etc

mes reflexions et pistes pour éradiquer ces BSODs:

maintenir à jour tous ces pilotes avec ma config.com ainsi que flash, adobe, Itunes,..surtout les pilotes de ta carte graphiques

j'avais désactivé partiellement la fonction DEP sous vista dans "paramétres système avancés" coché case:Activer la prévention d'exécution des données pour tous les programmes et services, sauf ceux que je sélectionne"=>il y avait 6 programmes inscrits (je ne sais pas comment?) que j'ai supprimés et sur "ajouter" tu peux voir tous les drivers du System32 et à quelles dates ils ont été mis à jour donc voir ntoskrnl

voir dans "profil utilisateurs " paramètres" s'il n'y a pas d'autres inscriptions à ton insu que ceux voulues sinon les virer

j'avais fait MBRCheck (ZHPDIAG): 162 drivers lancés dans le kernel issus tous de \SystemRoot\System32\... sauf .. et 65 processus pour voir si le MBR n'était pas infecté =>surement pas

peut etre un pb matériel?

après suis toutes les recommandations des helpers pour voir si tu as des infections

je m'excuse d'avoir donné ma reflexion mais j'ai eu beaucoup de mal à interrompre mes BSODs

cordialement