Bonjour,
Depuis peu (lancement d'un exe douteux), j'ai un process cmd.exe qui tourne dès le démarrage de windows, et celui ci prend 100% du CPU. Je ne sais pas si quelque chose d'autre tourne sans que je le vois. Je peux le killer, et après tout SEMBLE normal. Mais n'aurais-je pas un vers, trojan ou que sais-je encore... Après le lancement de cet exe douteux, mon antivirus était disablé. Il s'est re-enablé après reboot.
 
J'ai lancé norton antivirus 2004, lavasoft ad-aware, spybot, et counterspy (tous up to date). Tout est clean pour eux. Counterspy est en protection active chez moi, et ne m'a pas donné d'alerte. Sinon, j'utilise le firewall de windows XP SP2, plus mon routeur linksys wrt54g.
 
Je vous donne la log de HiJackThis. J'espère que l'un d'entre vous aura une idée de ce que ça peu être.
Dans cette log, n'apparait pas dans les running process C:\windows\system32\cmd.exe car j'avais killé le process avant de lancer hijackthis.
 
Logfile of HijackThis v1.99.1
Scan saved at 07:54:39, on 05/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\system32\ntdll.exe
 
 
Merci de votre aide
 
[edit: suppression log hijackthis en dehors de la ligne fautive]

Le plus simple serait de faire évaluer ton log sur hijackthis.de puis Google pour chaque point jaune/rouge.
Il y a également un topic dédié dans la section Tuto du forum.

Oui, je comptais le faire quand je rentrerais, mais c'était au cas ou quelqu'un aurait déjà eu le problème...
Le problème du process cmd.exe c'est qu'il est tout à fait officiel donc c'est pas directement là le problème. Comment puis-je trouver ou il est lancé ? Dans la base de registre, en faisant une recherche sur cmd.exe ?
 

ici : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 
...mais cela doit plutôt être un batch ou un soft qui le lance.
msconfig donne quoi ?

j'ai pas essayé, je n'y ai pas pensé. Je regarde ce soir si j'ai le temps. merci.

En utilisant msconfig, j'ai finalement vu que mon cmd.exe qui prend 100% ne démarre pas si je ne lance pas la ligne suivante :
O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\system32\ntdll.exe  
j'ai trouvé ceci sur le net :
 
ntdll.exe
    Backdoor.Bionet.404 is a variant of Backdoor.Bionet that allows unauthorized access to an infected computer.
    The existence of the file ntdll.exe is an indication of a possible infection.
 
    When installed it performs the following actions:
    Moves itself to %System%\ntdll.exe.
    Registers and runs as a process.
 
    Adds the value:
    "ntdll" = "ntdll.exe"
    to the registry key:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
 
    Opens TCP port 15348 to listen for commands from the author of this Trojan.
 
Voilà, je pense que le problème va se régler...
Merci

Erf, s'cuse : j'avais zappé la ligne...
Cool pour toi !
 
@+ !