Latence anormalement haute sous windows > virus ?

Eternal0 · Octobre 3, 2009, 10:31

Bonjour à tous,

Je suis confronté depuis quelques semaines à des problèmes de ping anormalement hauts en multijoueur et en pinguant des sites web. En multi, plus moyen d’avoir un serveur avec un ping en-dessous de 300. Et lorsque je pingue un site (orange, free…), les pings peuvent se stabiliser à 50 ms et grimper progressivement jusqu’à 1000, voire 3000… j’ai fait ce test sur plusieurs urls en même temps.

Cependant, le problème est uniquement sur mon pc (pas de souçi sur un autre pc, du moins tant que le mien est déconnecté. Il ne s’agit donc à priori pas d’intrusion wifi (de toute façon, j’ai fait des tests avec airodump et des scanneurs d’ip, j’ai vu personne).
Par ailleurs, lorsque je pingue depuis linux, les pings sont normaux, autour de 50 ms.
Je pense donc que le problème vient de mon windows, peut-être d’un virus. J’ai scanné avec nod32 mais je n’ai rien trouvé.

Quelqu’un aurait une idée ?

Merci d’avance.

riri38 · Octobre 4, 2009, 12:30

salut

poste un log hijacthis

Eternal0 · Octobre 4, 2009, 12:50

Voilà:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:48:28, on 04/10/2009
Platform: Unknown Windows (WinNT 6.01.3004)
MSIE: Internet Explorer v8.00 (8.00.7100.0000)
Boot mode: Normal

Running processes:
S:\Windows\system32\taskhost.exe
S:\Windows\system32\Dwm.exe
S:\Windows\Explorer.EXE
S:\Program Files\Internet\Gmail Notifier\gnotify.exe
S:\Program Files\Internet\Java\jre6\bin\jusched.exe
S:\Program Files\Multimédia\iTunes\iTunesHelper.exe
S:\Program Files\Sécurité\ESET Smart Security\egui.exe
S:\Program Files\MSN Messenger\msnmsgr.exe
S:\Program Files\Sécurité\Spybot - Search & Destroy\TeaTimer.exe
S:\Program Files\Micro Application\LauncherMA.exe
S:\Program Files\Internet\Mozilla Firefox\firefox.exe
S:\Windows\system32\cmd.exe
S:\Windows\system32\conhost.exe
S:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
S:\Windows\system32\conhost.exe
S:\Program Files\Sécurité\HijackThis\HijackThis.exe
S:\Windows\system32\SearchFilterHost.exe
S:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - S:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - S:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - S:\Program Files\Internet\Java\jre6\bin\jp2ssv.dll
O4 - HKLM…\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] S:\Program Files\Internet\Gmail Notifier\gnotify.exe
O4 - HKLM…\Run: [SunJavaUpdateSched] “S:\Program Files\Internet\Java\jre6\bin\jusched.exe”
O4 - HKLM…\Run: [QuickTime Task] “S:\Program Files\QuickTime\QTTask.exe” -atboottime
O4 - HKLM…\Run: [iTunesHelper] “S:\Program Files\Multimédia\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [egui] “S:\Program Files\Sécurité\ESET Smart Security\egui.exe” /hide /waitservice
O4 - HKCU…\Run: [msnmsgr] “S:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O4 - HKCU…\Run: [The Turtle] C:\Program Files\Divers\Marmot Project\TheTurtle v5.0.exe
O4 - HKCU…\Run: [SpybotSD TeaTimer] S:\Program Files\Sécurité\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\RunOnce: [mctadmin] S:\Windows\System32\mctadmin.exe (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-20…\RunOnce: [mctadmin] S:\Windows\System32\mctadmin.exe (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-21-2520776330-3177865981-714316215-1003…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User ‘Freenet’)
O4 - HKUS\S-1-5-21-2520776330-3177865981-714316215-1003…\RunOnce: [mctadmin] S:\Windows\System32\mctadmin.exe (User ‘Freenet’)
O4 - Startup: Lanceur.lnk = S:\Program Files\Micro Application\LauncherMA.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - S:\Windows\system32\GPhotos.scr…
O13 - Gopher Prefix:
O23 - Service: Apple Mobile Device - Apple Inc. - S:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - S:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - S:\Windows\system32\Ati2evxx.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - S:\Program Files\Sécurité\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - S:\Program Files\Sécurité\ESET Smart Security\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - S:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Freenet background service (freenet) - Tanuki Software, Ltd. - S:\Program Files\Internet\Freenet\bin\wrapper-windows-x86-32.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - S:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - S:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de liPod (iPod Service) - Apple Inc. - S:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - S:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - S:\Program Files\Sécurité\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia. - S:\Program Files\PC Connectivity Solution\ServiceLayer.exe

–
End of file - 5885 bytes

Eternal0 · Octobre 4, 2009, 9:36

Je crois avoir résolu mon problème.
En regardant les connexions établies par les processus avec NOD32, j’ai repéré un “java.exe” qui pompait allègrement ma connexion en upload comme en download. Il semblait établir des connexions avec une trentaine de machines partout dans le monde, un peu comme un client p2p.
De plus, s’il avait la même icône que Java, il n’apparaissait pas dans le gestionnaire des tâches, ce qui était très suspect.
Je l’ai viré avec Unlocker (il était dans system32). Mon ping est revenu à la normale
Ni mon antivirus, ni virustotal.com n’ont repéré quoi que ce soit. D’ailleurs, HijackThis n’a même pas repéré le processus…

J’espère que cette expérience pourra en aider d’autres.

riri38 · Octobre 4, 2009, 11:09

S:\Windows\system32\conhost.exe
O4 - HKUS\S-1-5-19…\RunOnce: [mctadmin] S:\Windows\System32\mctadmin.exe (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\RunOnce: [mctadmin] S:\Windows\System32\mctadmin.exe (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-21-2520776330-3177865981-714316215-1003…\RunOnce: [mctadmin] S:\Windows\System32\mctadmin.exe (User ‘Freenet’)

a mon avis c’était celui la

refait un log

Eternal0 · Octobre 4, 2009, 12:03

Voilà:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:02:46, on 04/10/2009
Platform: Unknown Windows (WinNT 6.01.3004)
MSIE: Internet Explorer v8.00 (8.00.7100.0000)
Boot mode: Normal

Running processes:
S:\Windows\system32\taskhost.exe
S:\Windows\system32\Dwm.exe
S:\Windows\Explorer.EXE
S:\Program Files\Internet\Gmail Notifier\gnotify.exe
S:\Program Files\Internet\Java\jre6\bin\jusched.exe
S:\Program Files\Multimédia\iTunes\iTunesHelper.exe
S:\Program Files\Sécurité\ESET Smart Security\egui.exe
S:\Program Files\Sécurité\Unlocker\UnlockerAssistant.exe
S:\Program Files\MSN Messenger\msnmsgr.exe
S:\Program Files\Sécurité\Spybot - Search & Destroy\TeaTimer.exe
S:\Program Files\Internet\Mozilla Firefox\firefox.exe
S:\Program Files\Sécurité\HijackThis\HijackThis.exe
S:\Windows\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - S:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - S:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - S:\Program Files\Internet\Java\jre6\bin\jp2ssv.dll
O4 - HKLM…\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] S:\Program Files\Internet\Gmail Notifier\gnotify.exe
O4 - HKLM…\Run: [SunJavaUpdateSched] “S:\Program Files\Internet\Java\jre6\bin\jusched.exe”
O4 - HKLM…\Run: [QuickTime Task] “S:\Program Files\QuickTime\QTTask.exe” -atboottime
O4 - HKLM…\Run: [iTunesHelper] “S:\Program Files\Multimédia\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [egui] “S:\Program Files\Sécurité\ESET Smart Security\egui.exe” /hide /waitservice
O4 - HKLM…\Run: [UnlockerAssistant] “S:\Program Files\Sécurité\Unlocker\UnlockerAssistant.exe”
O4 - HKCU…\Run: [msnmsgr] “S:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O4 - HKCU…\Run: [The Turtle] C:\Program Files\Divers\Marmot Project\TheTurtle v5.0.exe
O4 - HKCU…\Run: [SpybotSD TeaTimer] S:\Program Files\Sécurité\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - S:\Windows\system32\GPhotos.scr…
O13 - Gopher Prefix:
O23 - Service: Apple Mobile Device - Apple Inc. - S:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - S:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - S:\Windows\system32\Ati2evxx.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - S:\Program Files\Sécurité\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - S:\Program Files\Sécurité\ESET Smart Security\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - S:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Freenet background service (freenet) - Tanuki Software, Ltd. - S:\Program Files\Internet\Freenet\bin\wrapper-windows-x86-32.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - S:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - S:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de liPod (iPod Service) - Apple Inc. - S:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - S:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - S:\Program Files\Sécurité\Spybot - Search & Destroy\SDWinSec.exe

–
End of file - 4916 bytes

cricri58 · Octobre 4, 2009, 12:40

Salut

Lances Hijackthis

SOUS VISTA: Clic droit sur Hijackthis/exécuter en tant qu’administrateur!

Cliques sur ==> Do a System Scan Only

coches ces Lignes
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM…\Run: [QuickTime Task] “S:\Program Files\QuickTime\QTTask.exe” -atboottime
O4 - HKLM…\Run: [iTunesHelper] “S:\Program Files\Multimédia\iTunes\iTunesHelper.exe”

Fermes tes autres applications sauf ==> hijackthis ( bien sûr )

et Cliques sur ==> Fix Checked

Désactive la " Teatimer qui ne sert à rien

Lance spybot

Menu mode : clic sur "avancé"puis sur “outils” cliques sur l’icone “résident” ensuite à droite décoches==> Teatimer

ensuite

On va regarder plus loin

Télécharge Random’s System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.

==>Random’s System Information Tool (RSIT)

==> Double-clique sur RSIT.exe afin de lancer RSIT.
==> Clique sur Continue à l’écran Disclaimer.
==> Si l’outil HijackThis (version à jour) n’est pas présent ou non détecté sur l’ordinateur, RSIT le téléchargera et tu devras accepter la licence.
==>Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront.

==> Poste le contenu de log.txt (<==qui sera affiché) ainsi que de info.txt (<==qui sera réduit dans la Barre des Tâches).

Note : Les deux rapports sont également sauvegardés %systemroot%\rsit

cricri58

riri38 · Octobre 4, 2009, 12:54

ya du mieux dans le 2eme rapport

suit les conseil de Cricri58