Utilisat du microproces à 100 % suite virus kak ?

19/11-2003 à 18:45
Mon PC tournait sans problème.
Configuration microprocesseur AMD 1200 Mhz avec Win XP Pro, 224 Mo de RAM,
Navig : Opéra 7.11 et 7.21 messag O Express 6

J?installe la version d?essai de Kaspersky Antivirus Pro 4.5 en fr pour l?essayer, après avoir désinstallé mon antivirus et comme il empêche mon PC de tourner correctement, je le désinstalle

Resté 2 jours sans antivirus installé et ayant surfé 2 fois 10 mn, je me suis quand même attrapé un virus que j?a pu détruire avec mon ancien antivirus que j?ai réinstallé (esafeProtect 3, gratuit) :
Voir message ci-dessous :
?email-body-1.txt - Infected by 'VBS.KaK' (removable). - Eliminé.?

Les symptômes habituels donnés pour le virus kak sur info du site secuser (merci) :fichier, etc n?y sont pas ;
Par contre, depuis ce moment, n?importe quand et en fermant les applications avec le gestionnaire de taches, on voit à l?onglet Performances que le microprocesseur est quasiment tout le temps à 100 % de son utilisation, même si on ne fait rien,
3 taches le « monopolisent » : EXPLORER.EXE, vsmon.exe 35 à 40 %et LSASS.EXE 35 à 40 %
De ce fait, tout ce que je fais sur le PC est extrêmement ralenti.
Le redémarrage n?y change rien.

Si l?on ferme le processus EXPLORER.EXE, on perd la barre des taches, le menu Démarrer et les icônes du bureau
On ne peut pas fermer les autres processus car ils sont utilisés par le système

Est-ce le résultat de l?infection par le virus kak ?
Que faire ?
Supprimer des fichiers et lesquels ?
Merci pour vos suggestions.
]

19/11-2003 à 20:42faire un scan en ligne : www.secuser.com/antivirus/

----------
Le mot liberté n'admet, par définition, aucune restriction. Jean Yanne.

19/11-2003 à 21:26C'est surtout en ouvrant ses mails que l'on est le plus souvent infecté, ce qui est encore le cas ici.

Il est bon de prendre plus de précautions: tel que le verrouillage d'ouverture des mails avec un atttachement ainsi la fermeture du volet de visualisation et d'effacer tout mail d'un inconnu ou d'un ami avec des mots en anglais.


Pour ma part, j'évite d'écrire mes mails en format html mais plutôt en format texte et j'en demande autant à mes correspondants.

sur aucun de mes pc, je n'ai trouvé trace de vsmon et lsass

empeche les de démarrer et effectue une recherche dans la base registre (il est possible que ces fichiers sont indispensable au démarrage pour certain de tes programmes, à toi de voir)

----------
Le seul ordinateur réellement en sécurité est un ordinateur éteint... et encore... je ne suis pas sûr."
Citation de je ne sais plus qui..

Boriss

19/11-2003 à 21:57LSASS.EXE c'est Local Security Authority Service, "Il s'agit du serveur local d'authentification de sécurité, il génère le processus responsable de l'authentification des utilisateurs par le service Winlogon. Ce processus est permis par l'utilisation de
packages d'authentifications comme msgina.dll. Si l'authentification est réussie, Lsass génère le jeton d'accès de l'utilisateur qui est utilisé pour lancer le shell initial. D'autres processus que l'utilisateur peut lancer vont hériter de ce jeton." (fin de citation, extrait de la KB de Microsoft ). Il semble gérer trois choses sous WinXP:
- emplacement protégé (sous NTFS) donc garant de la discrétion de certains fichiers vis à vis des utilisateurs.
- services IPSEC.
- gestionnaire de comptes de sécurité.
C'est à lui que sont adressées les requêtes quand on tente de se connecter à ton pc depuis l'extérieur, en cas d'attaque par exemple, et un firewall détecte ça et protège.
Tu as Zone Alarm puisque tu as vsmon.exe, le True Vector Internet Monitor qui gère le traffic pour ZA et génère les alertes. Là, tu as, peut-être, une piste. Ce processus a parfois (couramment) une consommation processeur excessive, bug courant avec ZA et bien identifié. Il faut faire une mise à jour de ZA sur leur site pour régler ça. (si c'est la cause du problème) [°)]

19/11-2003 à 23:47Merci pour vos conseils.

D'après un autre essai que je viens de faire c'est le processus EXPLORER.EXE qui est en cause car quand on le ferme, on résoud le problème du microprocesseur à 100 % et les 2 autres tâches redescendent à un taux normal très bas mais comme je le disais au début, je perds aussi la barre des taches, le menu contextuel, les icones du bureau et le menu demarrer.
Donc , ça se reserre, mais le problème n'est pas résolu...

Pour l'antivirus en ligne, ça ne passe pas. Message :
Either the browser does not support the Object element or an error occurred while downloading the object. Unable to loading HouseCall ActiveX Control"
même en mettant "accepter les cookies"

J'ai passé le mien une nouvelle fois avec mise à jour de liste de virus au 18 11 03 et il n' a rien détecté.

19/11-2003 à 23:49tu peux aussi faire une restauration a une date ou tout marchait bien.
ou a la limite essayer une reparartion de xp.

----------
Le mot liberté n'admet, par définition, aucune restriction. Jean Yanne.

20/11-2003 à 00:07la restauration n'est pas possible, parce que pour détruire le virus, j'ai été obligé de la supprimer et cela supprime aussi les points antérieurs même après avoir remis la restauration.
C'est un peu un défaut de la restauration d'ailleurs...

Peut-être la réparation...

De plus, le processus EXPLORER.EXE, normalement c'est l'explorateur de Windows, sauf que celui-la vient sans qu'on lui demande rien. De plus il occuppe en RAM 70 000 Ko,
alors que si j'ouvre l'explorateuravec un raccourci, il crée un processus mais qui ne prend que 10 000 Ko en RAM

Bonsoir.

20/11-2003 à 08:54

même en mettant "accepter les cookies"

ce sont les contrôles activeX en l'occurence qu'il faut accepter, et après le scan tu les bloques de nouveau car c'est une vrai faille de sécurité ce truc.
pour explorer.exe, tu devrais vérifier ce qui te mange autant de ressource, c'est anormal. Vérifie de ne pas avoir un troyen (avec The Cleaner ou un autre logiciel de ton choix).

20/11-2003 à 09:16Chez moi, lexplore prends un peu moins de 18 Mo en RAM + 8 Mo en mémoire virtuelle. Je suis sous XP EF.

20/11-2003 à 09:40

il crée un processus mais qui ne prend que 10 000 Ko en RAM

soit 9.8Mo

De plus il occuppe en RAM 70 000 Ko,

soit à peu près 68Mo, ça fait une grosse différence quand même en effet.

20/11-2003 à 09:48Ça monte au fur et à mesure. Ce qu'il faudrai, c'est redémarrer ton PC et voir la taille au début, sous XP.

20/11-2003 à 09:54

sous XP

sûr, il est sous XP, de toute façon, il ne risque pas de chercher sous un autre OS. [°)]

20/11-2003 à 09:57Il se trouve que Jeanloup est sous XP. Moi, je suis passé de 98 à ME puis à XP, et j'en suis fort content.

20/11-2003 à 10:01Oui, et alors? [°)] ça

20/11-2003 à 10:02Et alors, tu lui proposes quoi?

20/11-2003 à 10:14

Et alors, tu lui proposes quoi?

Ce qu'il faudrait, c'est redémarrer ton PC et voir la taille au début, sous XP

L'apprentissage de la lecture est une chose fort utile.

20/11-2003 à 16:25Jeanloup, le lien pour charger The Cleaner, gratuit en essai pendant un mois http://www.moosoft.com/products/cleaner/
il y a aussi PestPatrol, la version d'essai gratuite te donne la liste des trucs à éliminer avec leur emplacement pour que tu n'aies plus qu'à aller les supprimer. http://www.pestpatrol.com/ et une aide http://shoguun.free.fr/pestpatrol1.html et http://shoguun.free.fr/pestpatrol2.html
si rien n'est trouvé, il faut passer à un cran au-dessus avec Hijackthis, voir ici http://niklish.free.fr/dossiersspywares.htm et ici http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269 (l'aide est faite par le même gars.)

21/11-2003 à 17:28Je n'ai pas pu donner suite plus tôt.
Je peux apporter quelques éléments de réflexion en plus :

Au démarrage, le processus défaillant EXPLORER.EXE fait environ 15 Mo en mémoire et il ne cesse de croître tout doucement jusqu?à 40, voire 70 Mo au bout de 2 ou 3 heures, sans jamais diminuer, alors que si j?ouvre l?explorateur Windows, il se crée un processus de 15 Mo qui reste à 15 Mo

J?ai téléchargé l?anti-trojan The Cleaner 3.5 : le scan de mon disque dur n?a rien donné
J?avais déjà passé Ad aware 6 et Spybot S et D sans résultats.

J'ai fait sur mon disque dur une recherche des fichiers s'appelant du même nom que celui qui est abîmé
EXPLORER.EXE et j?ai trouvé des trucs bizarres dans le même répertoire :
Un fichier s?appelant « explorer.exe.manifest » avec date 18 nov 2003 et heure de création, à peu près au moment ou je me suis pris le virus kak ou autre,
et un autre qui s?appelle WindowsShell.Manifest, curieusement du 23 sept 2002
Je les ai enlevés et mis dans un autre répertoire. Au premier redémarrage le problème était réparé au niveau du microprocesseur, mais après le 2ème , le problème est revenu sans la réapparition de ces 2 fichiers.
Quelqu?un les a-t-il déjà vu ?

Je viens de finir de télécharger Pestpatrol (un peu long sans ADSL) mais je ne l?ai pas encore installé

Merci à tous pour vos conseils.
Si vous avez d?autres idées avec ces nouveaux éléments, je suis preneur?

Jeanloup

21/11-2003 à 18:55Bonsoir,

J'ai fait une recherche sur Google à propos des fichiers explorer.exe.manifest.
C'est pas très encourageant!

Les fichiers *.manifest sont des fichiers normaux de Windows XP pour permettre l'interface "skinnable". S'ils sont corrompus ils ne sont pas réparés par le système et peuvent bloquer un processus pour toujours.
Voir
http://www.securitytracker.com/alerts/2002/Jan/1003308.html
http://www.securityfocus.com/bid/3942/discussion/

This is a killer-news for all LINUX-Enthusiasts. Microsoft stops the complete developement for their operating systems.
The reason is the increasing vulnerability of all products.
After the first .NET-virus (this one uses a "architecture-failure" of .NET), there is another big "feature" on the run. The *.manifest-problem.
These manifests are the XML-information for the skinnable WinXP...

...By manipulating , e.g. the explorer.exe.manifest with any "stupid" string you can stop the GUI-System from starting. This fault won't be repaired with the autorepair-function.
http://localfoo.info/modules/news/article.php?storyid=280

@+