Votre question

Un bébé qui se met à rire [Résolu]

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Novembre 2010 16:59:10

Bonjour à tous,
Depuis environs 1 semaine, mon ordinateur a un sérieux problème. Sans raison, un bébé se met à rire pendant au moins trois bonnes minutes, puis le bruit s'arrête. Je m'y connais un tout petit peu en informatique et je pense avoir réussi à identifier ce virus, ce qui n'est pas le cas de mon antivirus Avast! 5.0.667 ^^'! Il ne détecte aucunes saletés dans mon ordinateur. J'ai tenté malgré tout de faire des analyses rapides et minutieuses, sans résultat!
Lorsque le virus se déclenche (activant donc le bébé qui rigole), je me dépêche de fermer tout les logiciels "facultatifs" en fonction sur mon ordinateur (MSN, Firefox, Gigatribe, etc. sauf l'antivirus) et le bruit continue... Il n'y a aucuns programmes d'ouvert dans ma barre de tâche et pourtant, ce bébé rigole. Il rigole encore et toujours à m'en faire devenir dingue :pt1cable:  !!
Je procède donc à la seule alternative restante pour identifier les programmes encore ouverts: j'ouvre le gestionnaire des tâches et je vais voir les processus en cour (à noter qu'il n'y a aucunes tâches présente dans le gestionnaire des tâches). Un ami m'a dis que certains virus prennent le nom de programmes connus comme "Internet Explorer". J'ai donc, dans un élan de désespoir, arrêter le processus d'internet explorer et là, comme par enchantement, le rire s'arrête immédiatement! Il me semble donc évident que le virus se soit confortablement installé dans IE. Pour en être bien sûr, j'ai fait un clic droit sur le processus activant le rire du bébé et j'ai sélectionné l'option "ouvrir l'emplacement du fichier". Le dossier "Internet Explorer" (situé dans program files (x86)) s'ouvre et Windows (Seven) sélectionne le fichier "iexplore.exe".
Je suis donc presque sûr que ce virus ce trouve ici:
C: /Program Files (x86)/Internet Explorer/iexplorer.exe

J'aimerai signaler que je possède 2 fois le processus d'IE. Pour que cela soit plus clair, je vous envoie un screen:
http://www.hebergementimages.com/images/a80834e46444b92c37fda210c3fef23c_Sans-titre.png
Est-ce normal? Un ami m'a informé que sans IE, il m'était impossible de me connecter à internet (d'où le fait que je n'ai pas désinstallé et réinstallé IE pour me débarrasser du virus, je ne veux pas perdre internet. Puis c'est le coup à ce que je le réinstalle mal...), donc il me semble normal qu'un processus IE soit ouvert, mais le second me semble inutile (voir même louche!).

Pour finir, je pense avoir une petite idée de la façon dont j'ai attrapé ce virus. Je me suis connecté sur l'ordinateur d'une amie (via TeamViewer) et je suis allé sur internet avec son navigateur, soit IE! Cela me semble un peu gros comme coïncidence pour que je puisse le négliger dans ce message.

Je vous remercie de votre lecture, j'espère avoir assez détaillé mon problème et j'attends impatiemment vos réponses!
Cordialement,
JeyJer

Autres pages sur : bebe met rire resolu

6 Novembre 2010 18:31:58

Bonjour,

Merci pour cette information, je suis dans le même cas que toi donc si tu trouves une solution je suis preneuse car c'est un peu galère.

Al
6 Novembre 2010 18:40:13

La façon dont tu as pu chopper ledit virus me parait tout à fait incohérente dans la mesure où Team Viewer n'exécute pas IE sur ton ordinateur. Ce que tu vois dans Team Viewer n'est qu'un fichier image.
Ca ne peut donc pas être la source de l'infection
Contenus similaires
7 Novembre 2010 02:16:46

"Team Viewer n'exécute pas IE sur ton ordinateur"
Oui, je m'en doute. Mais en fait, ce que je voulais dire, c'est qu'au moment où j'ai lancé IE sur l'ordinateur de mon amie, il est possible que j'ai activé le virus et qu'il ait profité de l'échange de donné que j'avais avec mon amie pour s'infiltrer dans mon ordinateur. Puisque s'il y a un échange de donné, le virus peut s'infiltrer dans les données échangées, non?
Après, ce n'est qu'une simple hypothèse de ma part...

J'ai utilisé le logiciel SpyBot pour faire un scan de mon ordinateur. Voilà ce qu'il m'a dis:
http://img522.imageshack.us/img522/8506/adratator.png
Ceci est un petit complètement d'information qui, j'espère, pourra vous être utile.

Cordialement,
JeyJer
a c 612 8 Sécurité
7 Novembre 2010 15:32:03

Bonjour,

Mouais zarbi l'histoire.

Laisse tomber Spybot, pas assez performant.

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    7 Novembre 2010 16:43:39

    JeyJer a dit :
    "Team Viewer n'exécute pas IE sur ton ordinateur"
    Oui, je m'en doute. Mais en fait, ce que je voulais dire, c'est qu'au moment où j'ai lancé IE sur l'ordinateur de mon amie, il est possible que j'ai activé le virus et qu'il ait profité de l'échange de donné que j'avais avec mon amie pour s'infiltrer dans mon ordinateur. Puisque s'il y a un échange de donné, le virus peut s'infiltrer dans les données échangées, non?
    Après, ce n'est qu'une simple hypothèse de ma part...
    Cordialement,
    JeyJer


    Ok, ce n'était pas très clair, je pensais que c'était effectivement ce que tu disais.
    Mais je ne crois pas que ton hypothèse soit plus plausible. Les données échangées par Team Viewer ont peu de chance de répandre un virus comme ça. A vrai dire, il y a plus de chances que cela provienne d'un fichier annexe vérolé que tu aurais téléchargé. La coïncidence avec l'utilisation de Team Viewer est une hypothèse fallacieuse.
    Mais peu importe, on ne pourra faire que des suppositions, je laisse hyunkel30 qui saura bien mieux t'aider que moi ;) .
    Bon courage.
    8 Novembre 2010 13:08:57

    Tu dois avoir raison Oldbear. Je te remercie pour l'information. J'ai sûrement téléchargé ce virus. Après, où, aucunes idées =P!

    Hyunkel30, j'ai suivis à la lettre tes consignes. Voici le lien: Résultat de l'analyse.
    Merci de m'aider Hyunkel30 :ange: 

    Cordialement,
    JeyJer
    a c 612 8 Sécurité
    8 Novembre 2010 17:37:34

    Re,

    Je ne peux assurer que l'infection viens de Teamviewer, mais y'en a bien une ...

    1) Désactive le Tea-Timer de Spybot :

  • Ouvre Spybot , clique sur l'onglet "Mode" et choisis "Mode Avancé"
  • Ne tiens pas compte de l'avertissement
  • En bas à gauche , clique sur "Outils"
  • Toujours dans la colonne de gauche , clique sur "Résident" ( pas dans la fenêtre centrale )
  • Et décoche l'option Resident "TeaTimer" (Tu pourras la recocher lorsque nous aurons terminé)

    Note : tu peux même carrément désinstaller Spybot, obsolète et peu efficace !

    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    O2 - BHO: (adfaffnvpr Object) - {9E69C159-D7D9-40E1-806A-D1657B82291A} - C:\Windows\$NtUninstallMTF197$\uvalz.dll ()
    O2 - BHO: (brumaffnvgrm Object) - {CE99862C-15DD-4922-95CA-8AE899E6F6F0} - C:\Windows\$NtUninstallMTF197$\gwljd.dll ()
    O4 - HKLM..\Run: [bipro] C:\Windows\$NtUninstallMTF197$\uvalz.DLL ()
    O4 - HKLM..\Run: [gchk] C:\Windows\$NtUninstallMTF197$\upg.exe File not found
    O4 - Startup: C:\Users\Mireille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk = C:\Users\Mireille\AppData\Roaming\IMVUClient\IMVUQualityAgent.exe File not found
    MsConfig:64bit - StartUpReg: swg - hkey= - key= - C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe File not found
    MsConfig:64bit - StartUpReg: EA Core - hkey= - key= - C:\Program Files (x86)\Electronic Arts\EADM\Core.exe File not found
    @Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:4D066AD2
    @Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:5D7E5A8F
    @Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:F2F115B4
    @Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:726A7C8D
    @Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:E1F04E8D
    @Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:444C53BA
    @Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:4CF61E54

    :Files
    C:\Windows\$NtUninstallMTF197$

    :Commands
    [emptytemp]
    [emptyflash]
    [resethosts]
    [CREATERESTOREPOINT]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.


    3) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    8 Novembre 2010 22:27:49

    Voici le rapport de suppression fait par OLT: Rapport de suppression n°1 (11082010_203244.txt)

    Voici le rapport de suppression de MalwareByte's Anti-Malware : Rapport de suppression n°2 (mbam-log-2010-11-08 (22-15-32).txt)

    Tout me semble bon désormais. Je te remercie infiniment. Sans toi, je ne sais pas comment j'aurai fais...!! Milles mercis!

    Hyunkel30, après cette infection, je me demande s'il est bien sage de rester à Avast! ? N'y a-t-il pas d'autres antivirus plus "fiable"? Que me conseillez-vous personnellement ?

    Cordialement,
    JeyJer
    a c 612 8 Sécurité
    10 Novembre 2010 16:32:23

    Re,

    On fini le ménage :

    1) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger :

    http://www.inforumatique.fr/post82670.html#p82670


    2) Désinstallation de programme et mise à jour :

    Désinstalle ces programmes (si présent) :
    - Street-Ads Browser Enhancer (logiciel publicitaire)
    - Cheat Engine 5.6.1 (infectieux)
    - Adobe Flash Player 9 ActiveX

    Met à jour :

    Java vers la version 6 update 22


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !

    -------------------------------

    Citation :
    Hyunkel30, après cette infection, je me demande s'il est bien sage de rester à Avast! ? N'y a-t-il pas d'autres antivirus plus "fiable"? Que me conseillez-vous personnellement ?


    Quand je vois ceci :

    Citation :
    C:\Users\Mireille\AppData\Local\Xenocode\Sandbox\5.6\2010.05.08T08.47\Virtual\STUBEXE\8.0.1112\@DESKTOP@\Cheat Engine.exe (Backdoor.Bifrose) -> Quarantined and deleted successfully.
    C:\Users\Mireille\Desktop\Plugin_VLC.exe (Trojan.Dropper) -> Quarantined and deleted successfully.


    je pense franchement que n'importe quel antivirus n'y fera rien ... c'est ton comportement sur le net et ton pc qu'il faut revoir ;) 
    Faut arrêter de cliquer et installer n'importe quoi. Tu verras que déjà, tu éviteras la plupart des infections comme çà.

    [:_tom_:7]
    11 Novembre 2010 12:37:38

    Merci beaucoup pour tes conseils Hyunkel. Je les suivrais à la lettre.
    J'ai purgé le système et désinstallé les logiciels demandés. Java a été mis à jour.
    Je ferais plus attention à l'avenir.
    Bonne continuation à toi et merci pour tout =)!
    a c 612 8 Sécurité
    11 Novembre 2010 13:59:26

    [:archi]

    A bientôt sur les forums Tom's Guide
    13 Novembre 2010 12:30:24

    perso moi avast marche tres tres bien ^^
    13 Novembre 2010 12:30:48

    enfin par messure de securite jais 4 anti virus ^^
    13 Novembre 2010 12:31:50

    sinon y a bullguard qui est plutot un bon anti virus il detecte out mes il ralenti l'ordi considerablement en plus sais une galere a desinstaller
    14 Novembre 2010 10:04:39

    bloodberline a dit :
    enfin par messure de securite jais 4 anti virus ^^


    Super! Pourquoi pas 10 anti virus quand à y être :pt1cable:  Je crois que si il y a plus qu'un anti virus cela peut occasioné des conflits et les anti virus on tendance à ralentir l'ordinateur alors imagine avec quatre...mais enfin bref! Si ca va bien pour toi tant mieux!
    14 Novembre 2010 10:21:47

    hyunkel30 a dit :
    Désinstalle ces programmes (si présent) :
    - Street-Ads Browser Enhancer (logiciel publicitaire)
    - Cheat Engine 5.6.1 (infectieux)
    - Adobe Flash Player 9 ActiveX


    Je pensais que les produits d'Adobe était digne de confiance :??: 
    a c 612 8 Sécurité
    14 Novembre 2010 11:12:30

    Bonjour Amulira,

    Oui, mais garder une ancienne version, c'est s'exposer à des failles de sécurité.

    D'où la désinstallation, je n'ai jamais marqué que c'était infectieux :D 

    Elle possède déjà la version 10 sur son système.
    a b 8 Sécurité
    14 Novembre 2010 11:18:51

    Hello, humph... Je vois des trucs qui me sautent aux yeux, je ne peux pas me retenir de faire quelques commentaires...

    Citation :
    enfin par messure de securite jais 4 anti virus ^^


    Attention, contrairement aux idées reçues :

    Ne jamais avoir plusieurs anti-virus avec la protection en temps réelle activée, c'est la meilleure façon de créer des conflits. Plusieurs anti-virus actifs peuvent s'entraver, et, au final, le PC que l'on croyait plus sécurisé devient une vraie passoire...

    Avec 2 anti-virus actifs, c'est déjà le bronx, tu n'imagines pas avec 4 anti-virus ! Conserve uniquement Avast 5.0, et ton PC sera déjà mieux protégé.

    Mais comme l'a dit Hyunkel30, le meilleur rempart de ton PC, c'est toi [:guigui0001:4]

    Citation :
    sinon y a bullguard qui est plutot un bon anti virus


    :o  gneuh... Il est loin d'être efficace celui-là...

    Citation :
    Je pensais que les produits d'Adobe était digne de confiance


    Non, c'est pas ça, c'est juste qu'il faut le mettre à jour. Et pour mettre à jour ce genre de logiciel, on désinstalle d'abord celui-ci et on installe la version la plus récente par-dessus.

    Beaucoup d'infections se propagent via ce genre de logiciels.

    Voilà :) 

    edit : grilled
    14 Novembre 2010 11:49:24

    hyunkel30 a dit :
    Bonjour Amulira,

    Oui, mais garder une ancienne version, c'est s'exposer à des failles de sécurité.

    D'où la désinstallation, je n'ai jamais marqué que c'était infectieux :D 

    Elle possède déjà la version 10 sur son système.


    ah d'accord!

    En parlant d''adobe flash player j'ai installé la nouvelle version sur IE8 et Firefox et s'était impossible de l'installé, la solution s'était de désactivé mon anti-virus car il se démenait comme un diable dans l'eau bénite (Microsoft security essentiel) et sur firefox, Prevx m'empêchait de l'installé alors j'ai tout bonnement configuré Prevx pour qu'il laisse entré ce fichier.
    a c 612 8 Sécurité
    14 Novembre 2010 14:01:21

    Re,

    Amulira, crée un nouveau sujet s'il te plait pour tes soucis, ce sera mieux ;) 

    @ guigui : :lol:  laisse tomber, bloodberline ne vaut même pas la peine d'un commentaire de la sorte ... ;) 
    17 Novembre 2010 21:17:08

    bonjour je me permet de me méler à la conversation; j'ai le même problème et j'ai suivi ton conseil : téléchargement de OTL et envoi des 2 fichiers mais que dois je faire après ??
    a c 612 8 Sécurité
    17 Novembre 2010 21:56:53

    Bonsoir libellule41_23,

    Crée ton propre sujet, chaque désinfection est spécifique.

    [:_tom_:7]
    17 Novembre 2010 21:58:59

    oui merci je viens juste de le créer, tu peux le consuter et si tu peux m'aider... j'en serai ravie...

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS