Se connecter / S'enregistrer
Votre question
Résolu

probléme avec iexplore.exe*32

Tags :
  • PC
  • Adware
  • Sécurité
  • Internet
Dernière réponse : dans Sécurité et virus
28 Janvier 2015 10:53:08

Bonjour
Depuis quelques temps j'ai un probléme avec mon PC, le processus iexplore.exe*32 s'ouvre tout seul et mon PC parle (publicité, sketch, gag ) alors qu'aucune page internet n'est ouverte.
de plus il utilise 100 % UC donc le PC rame .
J'ai fait un scan, un nettoyage, adwcleaner, je ferme le processus mais il se réouvre.
Pouvez vous m'aider SVP.
Cordialement

Autres pages sur : probleme iexplore exe

a b 8 Sécurité
a b 2 Internet
28 Janvier 2015 21:31:56

Bonsoir,

Jetons un oeil à ça :) 

__________________


Pour le bon déroulement de la désinfection :


  • Utilise le moins possible ton PC pendant la procédure, afin de faciliter la désinfection.

  • Suis les procédures données, mais ne tente rien par toi-même : si il y a un souci pendant une procédure, fais-m'en part plutôt que de cliquer au hasard et provoquer une panne sur ton système.

  • Si tu suis déjà une procédure sur un autre forum, merci de le signaler, il est important de ne suivre qu'une seule désinfection à la fois.

  • Même si les symptômes de l'infection ont disparu, le PC n'est pas forcément clean : attends bien que l'on t'ait dit que le PC est désinfecté avant de l'utiliser à nouveau.

  • Même si les désinfections sont faites par des personnes ayant des connaissances approfondies dans la désinfection, il est toujours possible que ton PC plante. Pense à bien sauvegarder tes données ;) 


  • __________________


    Scan FRST


    • Télécharge FRST (de Farbar) sur ton bureau. En fonction de ta version de Windows, prends la "32-Bit Version" ou la "64-Bit Version".

      En l'occurence, tu sembles être en 64 bits. Aide : va dans Démarrer > Panneau de configuration > Système pour savoir si tu es sous 32 bits ou 64 bits.

    • Double-clique sur l'icône FRST.exe pour lancer le programme. (Sous Windows Vista, 7 et 8, il faut faire un clic droit dessus, puis exécuter en tant qu'administrateur.) Clique ensuite sur Oui lorsqu'un message d'avertissement (Disclaimer) s'affiche.

      Déconnecte-toi et ferme toutes applications en cours


    • Sur le menu principal, clique sur le bouton Scan et patiente le temps de l'analyse.

    • A la fin du scan, deux rapports s'affichent, FRST.txt et Addition.txt. Poste les rapports dans ta prochaine réponse EN LES HEBERGEANT ICI > http://up.security-x.fr/


  • Les rapports se trouvent ici : C:\FRST\Logs
    m
    0
    l
    Contenus similaires
    a b 8 Sécurité
    a b 2 Internet
    29 Janvier 2015 15:22:54

    Bonjour,

    1)

    Y a pas mal de boulot, multiples infections. Mais ce n'est pas étonnant étant donné ton comportement sur internet (téléchargement illégal en P2P, activation de clés illégales, manque de vigilance, etc.), je te donnerai des conseils vis-à-vis de cela en fin de désinfection :) 

    On commence par faire un peu de nettoyage, superficiel, dans l'ordre :

    Désinstallation de programmes

    • Va dans Démarrer > Panneau de configuration. Si tu n'y es pas encore, passe en affichage classique (à gauche), puis double-clique sur Programmes et fonctionnalités.

    • Dans la liste qui s'affiche, désinstalle si présents :

      > BocaGeneration
      > DubLi Toolbar
      > MediaBar
      > TechResource
      > uTorrentBar_FR Toolbar

      Remarque : Par rapport à TNod User & Password Finder, plutôt que d'essayer d'avoir gratuitement un antivirus payant, préfère un antivirus gratuit comme avast ou antivir qui sont tout aussi performants.

      Au passage, je te déconseille l'utilisation d'IncrediMail, mais ça c'est à toi de voir.




  • 2)

    Suppression des PUP



    • Télécharge ZHPCleaner (de Nicolas Coolman) et lance-le (sous Vista, 7 et 8, il faut faire un clic droit dessus > Exécuter en tant qu'administrateur).

      Déconnecte-toi et ferme toutes applications en cours


    • Accepte le contrat de licence, puis clique sur le bouton Scanner

    • Copie/colle le rapport obtenu qui va s'afficher.
    m
    0
    l
    29 Janvier 2015 15:44:40

    Bonjour
    Je n'arrive pas à supprimer Dubli toolbar
    et pour techresource on me note le module spécifié est introuvable.
    Est ce je continue quand même le point n° 2?
    merci
    m
    0
    l
    29 Janvier 2015 15:58:17

    je suis passée au point 2
    j'en suis au scan et il me demande : voulez vous supprimer cette page d'accueil ? res://ieframe.dll/tabswelcome.htm
    je répond oui ou non?
    m
    0
    l
    a b 8 Sécurité
    a b 2 Internet
    29 Janvier 2015 17:11:56

    Re,

    Oui tu peux continuer au point 2, c'est normal que toutes les désinstallations ne fonctionnent pas, on supprimera les restes manuellement.

    Pour l'histoire de la page d'accueil, tu dois répondre non.
    m
    0
    l
    a b 8 Sécurité
    a b 2 Internet
    30 Janvier 2015 17:30:03

    Salut,

    1)

    Relance ZHPCleaner de la même manière que précédemment et utilise cette fois-ci le bouton "Réparer".

    Après redémarrage, poste-moi le rapport obtenu.

    2)

    Effectue un nouveau scan FRST de la même manière que précédemment et copie/colle-moi le rapport obtenu.
    m
    0
    l
    a b 8 Sécurité
    a b 2 Internet
    3 Février 2015 15:20:53

    Salut, j'ai voulu répondre hier mais un bug du site m'a fait perdre ma réponse :/ 

    Comme la réponse nécessite pas mal de boulot, je n'aurai le temps de te l'envoyer que demain aprem. Merci de ta compréhension
    m
    0
    l
    a b 8 Sécurité
    a b 2 Internet
    4 Février 2015 18:30:00

    Bonjour, me revoilà.

    Fix FRST


    • Ouvre le Bloc-notes en allant dans Démarrer > Tous les programmes > Accessoires > Bloc-notes.

    • Copie/colle la totalité du contenu de la zone encadrée ci-dessous dans le Bloc-notes

      start
      CreateRestorePoint:
      CloseProcesses:
      EmptyTemp:
      HKLM\...\Run: [TNOD UP] => "C:\Program Files (x86)\TNod User & Password Finder\TNODUP.exe" /i
      C:\Program Files (x86)\TNod User & Password Finder
      HKLM-x32\...\Run: [YourFile DownloaderInstaller Starter] => der.exe
      SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
      SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
      SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
      SearchScopes: HKU\S-1-5-21-2550529873-3783376379-3917596887-1010 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
      DPF: HKLM-x32 {745395C8-D0E1-4227-8586-624CA9A10A8D} http://78.242.230.138:8080/activex/AMC.cab
      FF Extension: deeaall4mmei - C:\Users\APS\AppData\Roaming\Mozilla\Firefox\Profiles\mzr81qy7.default\Extensions\j@M.co.uk [2015-01-26]
      FF Extension: Booster Web - C:\Users\APS\AppData\Roaming\Mozilla\Firefox\Profiles\mzr81qy7.default\Extensions\jid1-U7omKQ6kQfxMaQ@jetpack [2015-01-26]
      FF Extension: 15756614ffb8498bb961bce537ea94fe - C:\Users\APS\AppData\Roaming\Mozilla\Firefox\Profiles\mzr81qy7.default\Extensions\{15756614-ffb8-498b-b961-bce537ea94fe} [2015-01-27]
      FF Extension: 2A1D5949B5194924BF628522FE0D5274 - C:\Users\APS\AppData\Roaming\Mozilla\Firefox\Profiles\mzr81qy7.default\Extensions\{2A1D5949-B519-4924-BF62-8522FE0D5274} [2015-01-30]
      CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1420454966&from=tugs&uid=126614527_462834_D8D47B49
      CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1420454966&from=tugs&uid=126614527_462834_D8D47B49"
      CHR Extension: (cfhdojbkjhnklbpkdaibdccddilifddb) - C:\Users\APS\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2015-01-30]
      CHR Extension: (DubLi Toolbar) - C:\Users\APS\AppData\Local\Google\Chrome\User Data\Default\Extensions\clagbfpdfojpoondfdloibkiaipdeibm [2015-01-26]
      CHR Extension: (elioihkkcdgakfbahdoddophfngopipi) - C:\Users\APS\AppData\Local\Google\Chrome\User Data\Default\Extensions\elioihkkcdgakfbahdoddophfngopipi [2015-01-28]
      CHR HKLM-x32\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - No Path
      2015-01-26 08:38 - 2015-01-26 08:38 - 00000000 ____D () C:\Program Files (x86)\DubLi Toolbar
      2015-01-26 08:37 - 2015-01-26 08:37 - 00000000 ____D () C:\Program Files (x86)\savinGtooyou
      2015-01-23 10:54 - 2015-01-23 10:54 - 00000000 ____D () C:\Users\APS\AppData\Roaming\moters
      2015-01-23 10:54 - 2015-01-23 10:54 - 00000000 ____D () C:\Users\APS\AppData\Roaming\Booster-Web

      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist (laisse .txt comme type de fichier)

      Déconnecte-toi et ferme toutes applications en cours


    • Double-clique sur FRST.exe (Sous Windows Vista, 7 et 8, il faut faire un clic droit dessus, puis exécuter en tant qu'administrateur.)

    • Si l'outil te propose de faire une mise à jour, accepte en cliquant sur "Oui". Télécharge-le sur ton bureau. A l'issue du téléchargement relance FRST puis clique sur "Fix". Si aucune mise à jour n'est proposée, clique directement sur "Fix".

    • Après quelques secondes, l'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • Cette procédure a été faite spécialement pour ce PC. Toute utilisation tierce peut endommager le système.


    2)

    Ensuite, relance FRST et clique sur SearchFiles.

    Dans l'encadré, tape der.exe

    Poste le rapport obtenu après quelques minutes.
    m
    0
    l
    a b 8 Sécurité
    a b 2 Internet
    5 Février 2015 11:10:22

    Bonjour,

    Ok on continue :

    1)

    • Suppression des restes


    • Télécharge Malwarebytes Anti-Malware (MBAM) et lance-le.

      IMPORTANT : Lors de la dernière étape de l'installation, tu dois décocher Activer l'essai gratuit de Malwarebytes Anti-Malware Premium.

    • Une fois que tu auras cliqué sur Terminé, MBAM va s'ouvrir.

    • Va dans Settings > General Settings > Language > French.

    • Va dans Paramètres > Détection et protection et sélectionne Traiter les détections comme des malveillants pour les détections PUP et PUM.

    • Dans Version de la base de données, clique surMettre à jour. Patiente un moment pendant la mise à niveau.

      Déconnecte-toi et ferme toutes applications en cours


    • Dans Examen, coche Examen "Menaces", et clique sur Examiner maintenant.

    • Patiente un moment (plusieurs minutes) pendant l'opération.

    • Si des éléments ont été détectés, clique sur Tout mettre en quarantaine et redémarre si nécessaire. Sinon indique-moi dans ta prochaine réponse que rien n'a été trouvé.

    • Au redémarrage, relance Malwarebytes et va dans Historique > Journaux de l'application.

    • Sélectionne le plus récent, puis clique sur Afficher.

    • Clique sur Exporter puis sur Fichier texte (*.txt) puis poste ce rapport dans ta prochaine réponse.


  • Remarque : le fichier se trouve ici : C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Logs

    Pour t'aider : Tuto sur MBAM

    2)

    As-tu encore des problèmes avec ton PC ?
    m
    0
    l
    5 Février 2015 12:15:22

    Malwarebytes Anti-Malware
    www.malwarebytes.org

    Date de l'examen: 05/02/2015
    Heure de l'examen: 11:44:54
    Fichier journal: Journal d'examen MAM.txt
    Administrateur: Oui

    Version: 2.00.4.1028
    Base de données Malveillants: v2015.02.05.04
    Base de données Rootkits: v2015.02.03.01
    Licence: Gratuit
    Protection contre les malveillants: Désactivé(e)
    Protection contre les sites Web malveillants: Désactivé(e)
    Auto-protection: Désactivé(e)

    Système d'exploitation: Windows 7 Service Pack 1
    Processeur: x64
    Système de fichiers: NTFS
    Utilisateur: APS

    Type d'examen: Examen "Menaces"
    Résultat: Terminé
    Objets analysés: 436275
    Temps écoulé: 17 min, 56 sec

    Mémoire: Activé(e)
    Démarrage: Activé(e)
    Système de fichiers: Activé(e)
    Archives: Activé(e)
    Rootkits: Désactivé(e)
    Heuristique: Activé(e)
    PUP: Activé(e)
    PUM: Activé(e)

    Processus: 0
    (Aucun élément malicieux detecté)

    Modules: 0
    (Aucun élément malicieux detecté)

    Clés du Registre: 1
    PUP.Optional.Booster.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{d65a1a66}, Mis en quarantaine, [6870ca50286295a1af8a7b2df80bf60a],

    Valeurs du Registre: 0
    (Aucun élément malicieux detecté)

    Données du Registre: 0
    (Aucun élément malicieux detecté)

    Dossiers: 4
    Rogue.Multiple, C:\ProgramData\1887373585, Mis en quarantaine, [cc0c7b9fdeac78be8dbef34925de8f71],
    PUP.Optional.SmootherWeb.A, C:\Users\APS\AppData\Roaming\Mozilla\Firefox\Profiles\mzr81qy7.default\jetpack\jid1-U7omKQ6kQfxMaQ@jetpack, Mis en quarantaine, [6870e832e0aa0e28db8efa7f63a07d83],
    PUP.Optional.SmootherWeb.A, C:\Users\APS\AppData\Roaming\Mozilla\Firefox\Profiles\mzr81qy7.default\jetpack\jid1-U7omKQ6kQfxMaQ@jetpack\simple-storage, Mis en quarantaine, [6870e832e0aa0e28db8efa7f63a07d83],
    PUP.Optional.MediaPlayerVideo.A, C:\Program Files (x86)\Media+PlayerVidEd2.5, Mis en quarantaine, [f7e1ff1b404a3204fa6b512a92718b75],

    Fichiers: 8
    PUP.Optional.CrossRider.A, C:\Users\APS\AppData\Roaming\ZHP\Quarantine\b0f8a17b-e852-42fc-b947-4a2b151151b0-12.exe, Mis en quarantaine, [73652bef6a205ed8b59103e3c045db25],
    PUP.Optional.Multiplug, C:\Users\APS\AppData\Roaming\ZHP\Quarantine\deeaall4mmei.exe, Mis en quarantaine, [5781d743aae0c076698f48ab15ed0bf5],
    PUP.Optional.Multiplug, C:\Users\APS\AppData\Roaming\ZHP\Quarantine\DeealsoFInderPRo.exe, Mis en quarantaine, [6e6aba606f1b191dae4a787b13efad53],
    PUP.Optional.Multiplug, C:\Users\APS\AppData\Roaming\ZHP\Quarantine\g5g1EJSYuuhjcm.exe, Mis en quarantaine, [597fa7735f2b39fd0aeec23150b243bd],
    PUP.Optional.MultiPlug.A, C:\Users\APS\AppData\Roaming\ZHP\Quarantine\mW732rGAjlHGWx.dll, Mis en quarantaine, [1bbd8d8d206a063030a4c2df75904ab6],
    PUP.Optional.MultiPlug.A, C:\Users\APS\AppData\Roaming\ZHP\Quarantine\Yg0pPNQ2Rj1XcR.dll, Mis en quarantaine, [3c9ca377b8d2b18504d0a9f842c39d63],
    PUP.Optional.CrossRider.A, C:\Program Files (x86)\Media+PlayerVidEd2.5\utils.exe, Mis en quarantaine, [be1a58c296f4e74fb8911a3fb0507d83],
    Rogue.Multiple, C:\ProgramData\1887373585\BITE8C4.tmp, Mis en quarantaine, [cc0c7b9fdeac78be8dbef34925de8f71],

    Secteurs physiques: 0
    (Aucun élément malicieux detecté)


    (end)
    m
    0
    l
    5 Février 2015 12:18:00

    c'est le journal d'examen que j'ai enregistré sur le bureau, il y a aussi un journal de protection, le voulez vous?
    je n'ai pas réussi a le mettre sur security-x ça me met error
    Sinon il y avait des menaces détectées que j'ai mises en quarantaine.
    m
    0
    l
    a b 8 Sécurité
    a b 2 Internet
    5 Février 2015 14:41:35

    Re,

    Non c'est tout bon pour les rapports.

    Est-ce que tu as encore des problèmes de pubs et de "gags" ?

    m
    0
    l
    5 Février 2015 15:06:50

    Re
    Pour le moment c'est le silence complet , enfin!!! mon ordinateur ne parle plus tout seul.
    et le UC n'est plus bloqué à 100% donc l'ordinateur ne rame plus.
    espérons que ça dure.

    Merci beaucoup pour votre aide précieuse et Bravo à votre équipe pour votre travail.

    m
    0
    l

    Meilleure solution

    a b 8 Sécurité
    a b 2 Internet
    5 Février 2015 16:21:33

    Ok parfait dans ce cas :) 

    On termine :

    Avant tout, mets à jour Java comme suit :


    • Désinstalle Java 6 Update 18 via le panneau de configuration

    • Télécharge sa dernière version ici > http://www.java.com/fr/download/

      Décoche pendant l'installation la barre Ask qui est proposée comme ci-dessous :



    • A la fin de l'installation, va dans Panneau de configuration > Java > Onglet Avancé > Divers. Coche alors la case Supprimer les offres de parrainage lors de l'installation ou la mise à jour de Java puis clique sur Appliquer comme ci-dessous :




  • 1) Purge de la restauration du système :

    • Télécharge Delfix (de Xplode) et lance-le (sous Vista, 7 et 8, il faut l'exécuter en tant qu'administrateur).

    • Coche les cases suivantes :

      - Supprimer les outils de désinfection
      - Purger la restauration système

    • Clique sur Exécuter.

    • A la fin de l'opération, un rapport apparaît, merci de me le poster dans ta prochaine réponse.

  • 2) Quelques infos sur le virus que tu avais sur ton PC, et sur les moyens de l'éviter à l'avenir...

    Ton PC a été infecté par des adwares, à savoir des logiciels potentiellement indésirables qui se mettent en place lors des installations de logiciels.

    Il faut donc que tu veilles à ne pas donner ton accord pour que ceux-ci s'installent lors des installations de logiciels (en décochant par exemple les cases précochées qui autorisent l'installation d'un moteur de recherche).

    Pour éviter de te faire réinfecter par des adwares à l'avenir, entraîne-toi à ne pas tomber dans leurs pièges en utilisant cet outil :


    • Télécharge Adware Prevention (de guigui0001) sur ton bureau.

    • Cet outil va simuler une installation bourrée d'adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.

    • A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.

    • Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !


  • 3) Fin du sujet

    Tu peux clore le sujet, si ton problème est résolu, en sélectionnant une meilleure réponse.

    A bientôt sur Tom's Guide :hello: 


    partage
    6 Février 2015 10:35:40

    Bonjour
    Voici le rapport de DELFIX
    http://up.security-x.fr/file.php?h=R5e0def24c8b94f6a6f1...

    Si c'est bon pour vous je clôture le sujet?
    cependant j'ai une petite question avant, je fais quoi de tout les rapports qui sont sur mon bureau je peux les mettre à la corbeille ou pas ?
    et à priori j'en ai aussi quelques uns créés par java hs-err ils ne sont pas forcément récents, est ce que je peux les jeter aussi?
    et pour les logiciels que vous m'avez fait installer est ce que je peux les laisser ?
    ça fait 3 questions !!
    Bon sinon merci beaucoup je vais faire l'entrainement que vous m'avez proposé.
    Bonne continuation
    m
    0
    l
    6 Février 2015 10:59:50

    Re
    voilà j'ai fait votre test adware prévention avec succés 0 fautes, je vais faire bien attention désormais.
    merci encore
    m
    0
    l
    a b 8 Sécurité
    a b 2 Internet
    6 Février 2015 18:52:23

    Re,

    Normalement à l'exception de MBAM, tous les outils et rapports que l'on a utilisés ont été supprimés par Delfix. Si ce n'est pas le cas, tu peux évidemment les mettre à la corbeille :)  Conserve MBAM par contre et fais un scan de temps en temps avec, il est efficace !

    Idem pour les rapports JAVA tu peux les jeter.

    De rien, c'était un plaisir :)  Parfait pour l'entraînement, effectivement veille à bien faire attention désormais. Essaye aussi d'éviter les téléchargements en P2P qui sont potentiellement dangereux.

    @+
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS