Votre question

[Résolu] Problème virus explorer.exe windows xp.

Tags :
  • Windows XP
  • Sécurité
Dernière réponse : dans Sécurité et virus
21 Mai 2011 10:54:50

Bonjour.

Depuis quelque temps, j'ai un problème avec mon ordinateur.
Je suis sous windows xp (SP3) et le week-end dernier en cliquant sur un lien web.

Je crois que c'etait un virus : ca m'ouvrait des pop ups, faisait ramer mon ordi, et finalement mon ordi plante en faisant un ecran bleu.

En regardant dans le gestionnaire des taches, j'ai vu un truc qui s'appelait TUN70UIDOP.EXE.
J'ai arreté le processus, detruit l'exe, supprimé tout ce qui s'y rapportait dans l'editeur de registre.

J'ai aussi nettoyé %temp% et c:\temp.

Mais j'ai toujours des ecrans bleus ...

Parfois, lorsque j'essaye de trouver la solution, je vois explorer.exe qui consomme de plus en plus de memoire( vers 100Mo alors qu'aucune fenetre est ouverte), m'affiche une fenetre super bizarre avec des trucs en espagnol.
En general, je tue explorer.exe, ca tue la fenetre . Ensuite je redemarre explorer.exe, mais 5 minutes plus tard j'ai un nouvel ecran bleu ...

Du coup, j'ai lancé un hijackThis, mais moi j'y comprends rien ...

Est-ce que qu'elqu'un peu m'aider ?

Rémi

Autres pages sur : resolu probleme virus explorer exe windows

a c 333 8 Sécurité
21 Mai 2011 11:00:12

Bonjour,

  • Télécharge OTL (par OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • Enfin, clique sur le bouton Analyse. Le scan ne prend pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres Bloc-notes vont s'ouvrir : OTL.txt et Extras.txt. Ils se trouvent au même endroit qu'OTL.

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    m
    0
    l
    Contenus similaires
    21 Mai 2011 14:10:33

    Ca y est j'ai fini de passer MalwareBytes

    J'ai fait une analyse rapide
    J'ai supprime tout ce qu'il y avait a supprimer

    J'ai fait une analyse complete ... recommencé plusieurs fois a cause d'ecrans bleus itempestifs

    Le log :
    http://www.cijoint.fr/cjlink.php?file=cj201105/cijNkhxn...

    Au cas ou, j'ai fait des nouvaux examans :
    OTL:
    http://www.cijoint.fr/cjlink.php?file=cj201105/cij9UBBk...

    Hijackthis
    http://www.cijoint.fr/cjlink.php?file=cj201105/cijkisP8...

    voila ...
    m
    0
    l
    a c 333 8 Sécurité
    21 Mai 2011 16:34:46

  • Relance Ad-Remover, choisis "Nettoyer" et poste le rapport.
    m
    0
    l
    a c 333 8 Sécurité
    21 Mai 2011 18:00:30

  • Relance Ad-Remover et choisis Désinstaller.

    Que dit l'écran bleu ?

    As-tu toujours des pubs ou des redirections ?
    m
    0
    l
    21 Mai 2011 18:14:44

    Paf je viens d'avoir un ecran bleu.
    J'ai l'impression que ca arrive quand je lance firefox avec du flash dedans, mais pas tout le temps.

    L'ecran bleu, je n'ai pas trop le temps de le lire, il est question de memoire physique, il s'affiche, et l'ordi redemarre.
    m
    0
    l
    21 Mai 2011 20:13:26

    Ca y est, j'ai eu un nouvel ecran bleu.
    Alors ca me dit :

    DRIVER_IQL_NOT_LESS_OR_EQUAL

    et l'instruction ou la machine a stoppé

    STOP 0x000000D1 ( 0xE16F1F , 0x00000002, 0x00000000, 0xE16BD27A )

    Moi ca me dit pas grand chose a part que IQL ca doit etre la carte réseau non ?

    (au passage j'ai plus de pubs pour le moment)
    m
    0
    l
    a c 333 8 Sécurité
    21 Mai 2011 20:32:43

    [#ff0000]/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\[/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.

  • Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.

  • Réponds Oui au message d'avertissement pour que ComboFix commence l'analyse de ton PC.

  • Il va te demander d'installer la console de récupération : accepte.

  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    m
    0
    l
    a c 333 8 Sécurité
    22 Mai 2011 13:41:42

    /!\ Seul taupe-sadar peut suivre cette procédure /!\

    Désactive toute protection résidente (Antivirus...) !

    ---> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

    KillAll::

    Driver::
    ethihykn

    File::
    c:\windows\system32\drivers\ethihykn.sys

    NetSvc::
    tbshdcdp

    ---> Ouvre le Bloc-notes : Démarrer > Tous les programmes > Accessoires > Bloc-notes.

    - Colle (CTRL+V) le texte dans le Bloc-notes.
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer.
    - Quitte le Bloc-notes.

    ---> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



  • Cela va relancer Combofix : au message qui apparaît, accepte.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.
  • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt
    m
    0
    l
    22 Mai 2011 14:39:11

    Voila, c'est fait :

    ComboFix 11-05-21.03 - remi 22/05/2011 14:25:39.3.1 - FAT32x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.272 [GMT 2:00]
    Lancé depuis: c:\documents and settings\remi\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\remi\Bureau\CFScript
    .
    FILE ::
    "c:\windows\system32\drivers\ethihykn.sys"
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\windows\system32\drivers\ethihykn.sys
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    -------\Service_ethihykn
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-04-22 au 2011-05-22 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-10-01 22:01 . 2011-10-01 22:01 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google
    2011-05-22 09:32 . 2011-05-22 09:32 -------- d-----w- C:\FOUND.015
    2011-05-21 16:22 . 2011-05-21 16:22 -------- d-----w- C:\FOUND.014
    2011-05-21 14:34 . 2011-05-21 14:34 -------- d-----w- C:\FOUND.013
    2011-05-21 12:53 . 2011-05-21 12:53 -------- d-----w- C:\FOUND.012
    2011-05-21 10:50 . 2011-05-21 10:50 -------- d-----w- C:\FOUND.011
    2011-05-21 09:36 . 2011-05-21 09:36 -------- d-----w- c:\documents and settings\remi\Application Data\Malwarebytes
    2011-05-21 09:36 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2011-05-21 09:35 . 2011-05-21 09:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2011-05-21 09:35 . 2011-05-21 09:35 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2011-05-21 09:35 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-05-21 09:33 . 2011-05-21 09:33 -------- d-----w- C:\FOUND.010
    2011-05-19 18:59 . 2011-05-19 18:59 -------- d-----w- C:\FOUND.009
    2011-05-19 17:53 . 2011-05-19 17:53 -------- d-----w- C:\FOUND.008
    2011-05-18 19:09 . 2011-02-17 13:18 455936 ------w- c:\windows\system32\dllcache\mrxsmb.sys
    2011-05-18 19:06 . 2010-06-18 13:36 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe
    2011-05-18 18:51 . 2010-11-02 15:17 40960 ------w- c:\windows\system32\dllcache\ndproxy.sys
    2011-05-18 18:51 . 2010-10-11 14:59 45568 ------w- c:\windows\system32\dllcache\wab.exe
    2011-05-18 18:51 . 2010-08-16 08:44 590848 ------w- c:\windows\system32\dllcache\rpcrt4.dll
    2011-05-18 18:51 . 2010-09-18 06:53 953856 ------w- c:\windows\system32\dllcache\mfc40u.dll
    2011-05-18 18:50 . 2011-02-08 13:34 978944 ------w- c:\windows\system32\dllcache\mfc42.dll
    2011-05-18 18:50 . 2010-08-23 16:12 617472 ------w- c:\windows\system32\dllcache\comctl32.dll
    2011-05-18 18:46 . 2011-05-18 18:46 -------- d-----w- C:\FOUND.007
    2011-05-18 18:39 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
    2011-05-18 18:38 . 2010-08-27 08:02 119808 ------w- c:\windows\system32\dllcache\t2embed.dll
    2011-05-18 18:38 . 2009-10-15 16:32 81920 ------w- c:\windows\system32\dllcache\fontsub.dll
    2011-05-18 18:38 . 2009-11-21 15:58 471552 ------w- c:\windows\system32\dllcache\aclayers.dll
    2011-05-18 18:38 . 2010-06-14 07:42 1172480 ------w- c:\windows\system32\dllcache\msxml3.dll
    2011-05-18 18:35 . 2009-06-21 21:47 153088 ------w- c:\windows\system32\dllcache\triedit.dll
    2011-05-18 18:29 . 2008-12-16 12:31 354304 ------w- c:\windows\system32\dllcache\winhttp.dll
    2011-05-18 18:28 . 2009-02-06 10:10 227840 ------w- c:\windows\system32\dllcache\wmiprvse.exe
    2011-05-18 18:28 . 2010-12-09 15:14 2194816 ------w- c:\windows\system32\dllcache\ntoskrnl.exe
    2011-05-18 18:28 . 2009-03-06 14:20 286720 ------w- c:\windows\system32\dllcache\pdh.dll
    2011-05-18 18:28 . 2009-02-09 11:23 111104 ------w- c:\windows\system32\dllcache\services.exe
    2011-05-18 18:28 . 2009-02-09 10:53 401408 ------w- c:\windows\system32\dllcache\rpcss.dll
    2011-05-18 18:28 . 2009-02-09 10:53 473600 ------w- c:\windows\system32\dllcache\fastprox.dll
    2011-05-18 18:28 . 2009-02-09 10:53 685568 ------w- c:\windows\system32\dllcache\advapi32.dll
    2011-05-18 18:28 . 2010-12-20 17:26 736768 ------w- c:\windows\system32\dllcache\lsasrv.dll
    2011-05-18 18:28 . 2009-02-09 10:53 453120 ------w- c:\windows\system32\dllcache\wmiprvsd.dll
    2011-05-18 18:28 . 2010-12-09 15:15 743424 ------w- c:\windows\system32\dllcache\ntdll.dll
    2011-05-18 18:28 . 2010-12-09 15:14 2150912 ------w- c:\windows\system32\dllcache\ntkrnlmp.exe
    2011-05-18 18:27 . 2010-12-09 15:14 2029056 ------w- c:\windows\system32\dllcache\ntkrpamp.exe
    2011-05-18 18:27 . 2010-07-16 12:04 221696 ------w- c:\windows\system32\dllcache\wordpad.exe
    2011-05-18 18:25 . 2008-10-15 16:35 337408 ------w- c:\windows\system32\dllcache\netapi32.dll
    2011-05-18 18:25 . 2008-05-01 14:36 331776 ------w- c:\windows\system32\dllcache\msadce.dll
    2011-05-18 18:24 . 2008-06-14 17:33 272768 ------w- c:\windows\system32\dllcache\bthport.sys
    2011-05-18 18:24 . 2008-05-08 14:02 203136 ------w- c:\windows\system32\dllcache\rmcast.sys
    2011-05-17 21:40 . 2011-05-17 21:40 0 ---ha-w- c:\documents and settings\remi\Local Settings\Application Data\BIT4.tmp
    2011-05-17 21:40 . 2011-05-17 21:40 0 ---ha-w- c:\documents and settings\remi\Local Settings\Application Data\BIT3.tmp
    2011-05-17 21:22 . 2011-05-17 21:22 -------- d-----w- C:\FOUND.006
    2011-05-17 19:51 . 2011-04-14 16:47 142296 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
    2011-05-17 19:51 . 2011-04-14 16:47 89048 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
    2011-05-17 19:51 . 2011-04-14 16:47 781272 ----a-w- c:\program files\Mozilla Firefox\mozsqlite3.dll
    2011-05-17 19:51 . 2011-04-14 16:47 465880 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
    2011-05-17 19:51 . 2011-04-14 16:47 1874904 ----a-w- c:\program files\Mozilla Firefox\mozjs.dll
    2011-05-17 19:51 . 2011-04-14 16:47 15832 ----a-w- c:\program files\Mozilla Firefox\mozalloc.dll
    2011-05-17 19:51 . 2010-01-01 08:00 1974616 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_42.dll
    2011-05-17 19:51 . 2010-01-01 08:00 1892184 ----a-w- c:\program files\Mozilla Firefox\d3dx9_42.dll
    2011-05-15 20:08 . 2011-05-15 20:08 -------- d-s---w- c:\documents and settings\NetworkService\UserData
    2011-04-25 04:01 . 2011-04-25 04:01 -------- d-----w- c:\documents and settings\remi\Application Data\vlc
    2011-04-25 03:55 . 2011-04-25 03:55 -------- d-----w- C:\FOUND.005
    2011-04-24 15:49 . 2011-04-24 15:49 -------- d-----w- C:\Travail
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-03-07 05:33 . 2008-09-16 12:25 692736 ----a-w- c:\windows\system32\inetcomm.dll
    2011-03-04 06:45 . 2002-10-07 15:17 434176 ----a-w- c:\windows\system32\vbscript.dll
    2011-03-03 13:53 . 2002-10-07 15:17 1858048 ----a-w- c:\windows\system32\win32k.sys
    2011-04-14 16:47 . 2011-05-17 19:51 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
    .
    .
    ((((((((((((((((((((((((((((( SnapShot@2011-05-22_10.01.31 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2011-05-22 12:31 . 2011-05-22 12:31 16384 c:\windows\temp\Perflib_Perfdata_1fc.dat
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-01 39408]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-04-05 2904064]
    "nwiz"="nwiz.exe" [2004-04-05 782336]
    "SoundMan"="SOUNDMAN.EXE" [2004-03-09 65536]
    "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2003-10-24 110592]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2003-10-24 618496]
    "Hcontrol"="c:\windows\ATK0100\Hcontrol.exe" [2004-01-19 65536]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Pidgin\\pidgin.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "63761:TCP"= 63761:TCP:@xpsp2res.dll,-22009
    .
    R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16/01/2011 19:09 691696]
    S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 13:16 130384]
    S2 gupdate1c99a72f413c3dd;Service Google Update (gupdate1c99a72f413c3dd);c:\program files\Google\Update\GoogleUpdate.exe [01/03/2009 14:38 133104]
    S2 tbshdcdp;AGP Bus m47c8 Monitor;c:\windows\System32\svchost.exe -k netsvcs [07/10/2002 17:17 14336]
    S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [01/03/2009 14:38 133104]
    S3 Tomcat6;Apache Tomcat 6;c:\program files\Apache Software Foundation\Tomcat 6.0\bin\tomcat6.exe [19/07/2010 14:59 61440]
    S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 13:16 753504]
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2011-05-22 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-01 18:00]
    .
    2011-05-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-03-01 12:38]
    .
    2011-05-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-03-01 12:38]
    .
    .
    ------- Examen supplémentaire -------
    .
    uSearch Page = hxxp://www.google.com
    uSearch Bar = hxxp://www.google.com/ie
    mDefault_Search_URL = hxxp://www.google.com/ie
    uInternet Connection Wizard,ShellNext = iexplore
    uSearchAssistant = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    mSearchAssistant = hxxp://www.google.com/ie
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
    DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
    DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
    FF - ProfilePath - c:\documents and settings\remi\Application Data\Mozilla\Firefox\Profiles\666sbpks.default\
    FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
    FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
    FF - prefs.js: network.proxy.type - 4
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-05-22 14:32
    Windows 5.1.2600 Service Pack 3 FAT NTAPI
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 5.1.2600 Disk: HTS548080M9AT00 rev.MG4OA53A -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e
    .
    device: opened successfully
    user: MBR read successfully
    error: Read Un périphérique attaché au système ne fonctionne pas correctement.
    kernel: MBR read successfully
    detected disk devices:
    detected hooks:
    \Driver\atapi DriverStartIo -> 0x8242753B
    user & kernel MBR OK
    .
    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_USERS\S-1-5-21-496604729-678927280-443912376-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{105CB4BC-ADAA-B760-FD0F-5EA3DC40367E}*]
    @Allowed: (Read) (RestrictedCode)
    @Allowed: (Read) (RestrictedCode)
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------
    .
    - - - - - - - > 'explorer.exe'(3688)
    c:\windows\system32\msi.dll
    c:\windows\system32\eappprxy.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\FileZilla Server\FileZilla Server.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\System32\nvsvc32.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\System32\wbem\wmiapsrv.exe
    c:\windows\SOUNDMAN.EXE
    c:\program files\iPod\bin\iPodService.exe
    c:\windows\ATK0100\ATKOSD.exe
    .
    **************************************************************************
    .
    Heure de fin: 2011-05-22 14:35:20 - La machine a redémarré
    ComboFix-quarantined-files.txt 2011-05-22 12:35
    ComboFix2.txt 2011-05-22 10:27
    ComboFix3.txt 2011-05-22 10:04
    .
    Avant-CF: 4 497 801 216 octets libres
    Après-CF: 4 407 590 912 octets libres
    .
    - - End Of File - - EBCD4EE1EFD95FE49F19BF59FA6BC08D
    m
    0
    l
    a c 333 8 Sécurité
    22 Mai 2011 16:28:05

    On a dégommé un fichier bizarre, as-tu encore des écrans bleus ?
    m
    0
    l
    22 Mai 2011 23:20:02

    Non je n'ai plus d'ecrans bleus. Tout semble normal maintenant. Il va me falloir du temps pour en etre sur, mais il semble que ca s'est calmé.

    Merci beaucoup pour l'aide !

    As-tu d'autres analyses à me faire faire ?
    m
    0
    l
    23 Mai 2011 00:42:07

    Bon en fait, ca va mieux, j'ai plus d'ecrans bleus. Par contre, de temps en temps, mon ordi rame un peu : tout se fige et je reprends le controle30 secondes plus tard.
    Ca n'arrivait pas avant les infections ...

    Tu as une idée ?
    m
    0
    l
    23 Mai 2011 09:02:15

    Peut être que ta RAM a été endommager , ou ta mémoire physique..
    m
    0
    l
    a c 333 8 Sécurité
    23 Mai 2011 11:28:53

    Pourquoi n'as-tu pas d'antivirus ?
    m
    0
    l
    23 Mai 2011 19:59:50

    C'est un choix.

    Je trouve qu'avoir un antivirus peut poser plus de problemes qu'il n'en resout. Ca ralentit l'ordi, ça demande sans arret des mises a jour. Il faut le gerer.

    Par exemple, cet ordi je n'ai rien eu depuis 4 ou 5 ans. ca aurait ete dommage de s'embeter avec un antivirus, non ?

    Je pense qu'en etant un minimum malin, (ne pas cliquer sur les piece jointe des spams, ne pas telecharger n'importe quoi, etc ) , on peut limiter la majorite des riques. En plus la , j'ai attrape ce virus sur un moment d' inatention, sur un moment de fatigue. j'ai cliqué au moment ou un popup apparaissait, il etait tard, mon taff me fatigue en ce moment, bref ... j'aurai du l'eviter moi meme.


    En general, en cas d'infection, je sauve mes donnees, et je reinstalle windows. C'est un peu lourd, du coup j'ai voulu essayer autre chose cette fois ci.

    Je te remercie encore une fois pour ton aide d'ailleurs. C'est vraiment sympa de ta part.

    Je me posais une question, juste par curiosité ...

    Qu'est-ce qui te motive à être helper ? Qu'est-ce que tu en retires ? L'experience technique, la comunauté, le bénévolat ?

    (Apres mon ordi ramouille toujours un peu mais bon, tu en as deja assez fait, je me debrouillerai, ca doit pas être évident de detecter les causes de probleme de performance)
    m
    0
    l
    23 Mai 2011 20:01:11

    Alors en fait, je n'arrivais pas a poster le denier message jusqu'a ce que je decide de desactiver flash dans firefox.

    Je vais essayer de le reinstaller pour voir.
    m
    0
    l
    23 Mai 2011 21:43:00

    J'ai un doute.
    Doute probablement créé par ton manque de conversation.
    J'ai peur que tu te dises : " Encore un crétin qui croit tout savoir, j'men vais te lui apprendre moi ! Tiens ! Prends ca ! Le livre des attaques de virus pour les nuls ! "

    Mais comme j'ai du respect pour toi, puisque tu m'as aidé à résoudre mon problème, je preferes croire que tu essayes de m'aider. J'ai lu les liens que tu m'as envoyé.

    Je suis d'accord sur le fait qu'un comportement intelligent sur Internet vaut bien le choix entre un antivirus ou un autre. Moi perso, je prefere ne pas en utiliser, ma vigilance est ma premiere protection.

    Tout ce qui concerne le phising/mail frauduleux/spam/telechargement , en general j'ai assez de jugeote pour les eviter.

    Crack/MSN/P2P : perso je les utilses pas. Je l'ai fait quand j'etais au lycée, mais bon ... voila.

    Mon par feu est actif. normal

    Je suis pas assez con pour donner mes coordonees bancaire sur Internet.

    Si on veut pas d'antivirus ... ben on risque pas d'installer de "faux antivirus".

    Les Adwares ca a du m'arriver d'en chopper 2 ou 3. Quand la recherche rapide gestionnaire de taches/regedit n'est pas assez efficace. je reinstalle windows.

    Les botnets et PC zombies. Ca je connaissais pas. La j'apprends un truc. Bien que je me doutait, que quelque chose du genre pouvait exister. Cela pose un vrai probleme, si ton ordi fait des attaques a ton insu. J'imagine malgre tout qu'un truc pareil doit se voir.

    Enfin un dernier point qui n'es pas present dans les documents que tu m'as indiqué :
    Selon moi, les attaques Internet/virus/trucware sont une industrie. Comme il est indiqué dans tes documents, ils sont la pour générer de l'argent. Mais en y reflechissant bien : qui en profite egalement ? Les developpeurs de logiciels antivirus ! Ils ont a leur disposition un marché ahurissant : ils leur suffit de faire peur aux gens avec des virus et autres truc bizarres pour leur faire vendre un logiciel qui va faire baisser les performances de leur ordinateur. Ce sont des marchands de peur.

    Ceci renforce ma conviction que je n'ai pas besoin d'antivirus.

    ...

    Bon c'est pas tout ca, moi j'ai encore mon PC qui ramouille, je vais finir par la faire cette reinstallation de windows.


    m
    0
    l
    a c 333 8 Sécurité
    23 Mai 2011 22:04:05

    Je comprends ton opinion.

    Il n'y a pas qu'à toi que je donne ce lien, c'est pour que les gens s'informe un peu sur les virus.

    Pour les créateurs de virus, c'est le pognon qui les attire également.

    En relisant ton rapport ComboFix, je me suis dit que tu avais peut-être le rootkit TDSS, on peut vérifier avec ceci :
    http://forum.malekal.com/tdsskiller-kaspersky-t28637.ht...
    m
    0
    l
    23 Mai 2011 22:48:37

    Tu avais raison. Il y avait tdss tdl4.

    Mon ordi a rebooté, et ca marche bien mieux maintenant !

    Merci !
    m
    0
    l
    a c 333 8 Sécurité
    23 Mai 2011 22:54:08

    1/

  • Télécharge DelFix sur ton Bureau.
  • Lance DelFix puis clique sur le bouton Suppression.
  • Poste le rapport (C:\DelFixSuppr.txt).
  • Supprime DelFix.


    2/

  • Télécharge et installe CCleaner.
  • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
  • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


    3/

  • Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


    ==Prévention==

    Je t'ai déjà donné les liens ^^

    Par contre, Java n'est pas à jour :
    http://www.malekal.com/2010/11/15/maintenir-java-adobe-...


    ==Problème résolu ?==

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.


    ;) 
    m
    0
    l
    23 Mai 2011 22:59:16

    Je n'arrive pas a telecharger DelFix. On dirait que le lien est mort.
    m
    0
    l
    23 Mai 2011 23:13:40

    Voila le rapport

    # DelFix v7.9B - Rapport créé le 23/05/2011 à 23:06
    # Mis à jour le 22/05/11 à 14h par Xplode
    # Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
    # Nom d'utilisateur : remi - REMI-PORTABLE (Administrateur)
    # Exécuté depuis : C:\Documents and Settings\remi\Bureau\DelFix.exe
    # Option [Suppression]


    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\Qoobox
    Supprimé : C:\Program Files\hijackthis

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\ComboFix.txt
    Supprimé : C:\TDSSKiller.2.5.1.0_23.05.2011_22.14.21_log.txt
    Supprimé : C:\TDSSKiller.2.5.1.0_23.05.2011_22.21.07_log.txt
    Supprimé : C:\WINDOWS\grep.exe
    Supprimé : C:\WINDOWS\MBR.exe
    Supprimé : C:\WINDOWS\NIRCMD.exe
    Supprimé : C:\WINDOWS\PEV.exe
    Supprimé : C:\WINDOWS\sed.exe
    Supprimé : C:\WINDOWS\SWREG.exe
    Supprimé : C:\WINDOWS\SWSC.exe
    Supprimé : C:\WINDOWS\SWXCACLS.exe
    Supprimé : C:\WINDOWS\zip.exe
    Supprimé : C:\Documents and Settings\remi\Bureau\Ad-Report-SCAN[1].txt
    Supprimé : C:\Documents and Settings\remi\Bureau\Ad-Report-CLEAN[1].txt
    Supprimé : C:\Documents and Settings\remi\Bureau\ComboFix.exe
    Supprimé : C:\Documents and Settings\remi\Bureau\Extras.Txt
    Supprimé : C:\Documents and Settings\remi\Bureau\hijackthis_sfx.exe
    Supprimé : C:\Documents and Settings\remi\Bureau\OTL.exe
    Supprimé : C:\Documents and Settings\remi\Bureau\OTL.Txt
    Supprimé : C:\Documents and Settings\remi\Bureau\tdsskiller.zip
    Supprimé : C:\Documents and Settings\remi\Bureau\TDSSKiller.exe

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKLM\Software\OldTimer Tools
    Clé Supprimée : HKLM\Software\Soeperman Enterprises Ltd.
    Clé Supprimée : HKLM\Software\Classes\.cfxxe
    Clé Supprimée : HKLM\Software\Classes\cfxxefile
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
    ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware

    ~~~~~~ Autre ~~~~~~

    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [2192 octets] ##########
    m
    0
    l
    a c 333 8 Sécurité
    23 Mai 2011 23:14:19

    Bien.
    m
    0
    l
    23 Mai 2011 23:15:13

    Ok merci beaucoup pour ton aide!

    Je vais mettre resolu devant le titre, mais avant cela, as tu besoin d'un feedback, une note, quelquechose pour te remercier ?
    m
    0
    l
    a c 333 8 Sécurité
    23 Mai 2011 23:19:02

    Non mais c'est sympa de ta part d'y avoir pensé.
    m
    0
    l
    24 Mai 2011 16:51:30

    Bon un grand merci alors !
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS