Votre question

Fenètre intempestive ou virus?

Tags :
  • Fenêtre intempestive
  • Sécurité
Dernière réponse : dans Sécurité et virus
7 Mars 2010 01:56:02

Bonjour,

En tant que novice, ou plus simplement utilisateur non professionnel de PC, je ne saurais moi meme répondre à cette question...
Merci d'avance de l'aide que vous pourrez m'apporter quant à l'analyse et la résolution du problème rencontré. :sarcastic: 

Mon problème :

Peu de temps après le démarrage de mon PC, une fenêtre "Windows Search" apparait sur le bureau, puis deux, trois, quatre... en flashant (comme un effet stroboscopique).
J'ai la possibilité néanmoins de fermer ces fenêtres, les unes après les autres, mais de toute façon, elles reviennent plus ou moins vite sur le bureau.
Si j'ouvre un autre programme, ou un explorateur, une barre "search" ou "Windows Search" apparait soit à gauche, soit en haut ou encore en bas, en fonction du programme ouvert...

Pas moyen de m'en débarrasser ou de fermer définitivement ces fenêtres qui prennent la main sur le bureau, ou dans chacun des programmes.

J'ai désinstallé tous les programmes inutiles (à mon sens), y compris les antivirus que j'avais pu trouver ici et là, sauf "Antivir" d'Avira, mais meme après avoir essayé tous les scans possibles, le problème persiste sans relâche, d'où mes doutes quant à l'infection de mon PC par un virus potentiel! :??: 

Une idée...?
Que dois je faire...?
Encore une fois, merci par avance!

Autres pages sur : fenetre intempestive virus

7 Mars 2010 11:33:08

...juste une petite précision toutefois, ci cela peut vous éclairer:

Ces fenètres "windows search" s'ouvrent exclusivement sur le bureau et dans les explorateurs ou programmes liés à windows... en clair, ce problème existe en permanence, mais ne semble pas affecter les autres programmes (Adobe, VLC...) une fois qu'ils sont lancés.
Cela peut il être une erreur de script??

Dernière précision, je suis sous windows XP.

Merci.
a c 295 8 Sécurité
7 Mars 2010 11:53:05

Bonjour,

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche Minimal Output.
  • Coche également les cases à côté de LOP Check et Purity Check.
  • Enfin, clique sur le bouton Run Scan. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    Contenus similaires
    a c 295 8 Sécurité
    7 Mars 2010 14:02:20

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Custom Scans/Fixes en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll File not found
    O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
    O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)

    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Run Fix en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.
    7 Mars 2010 14:42:09

    Re Bonjour,

    Voila le rapport que j'ai eu après le redémarrage:

    (pour info, les fenètres sont toujours aussi présentes et le processus devient de plus en plus "nerveux", mais je ne sais pas s'il y a un lien de cause à effet...)

    Encore une fois merci pour le coup de main.

    All processes killed
    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{CCC7A320-B3CA-4199-B1A6-9F516DD69829} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\ not found.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{CCC7A320-B3CA-4199-B1A6-9F516DD69829} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\ not found.
    Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 32768 bytes

    User: J. Blanchard
    ->Java cache emptied: 5852744 bytes
    ->Flash cache emptied: 3182 bytes

    User: LocalService
    ->Temp folder emptied: 66016 bytes
    ->Temporary Internet Files folder emptied: 65938 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Utilisateur
    ->Temp folder emptied: 11990568 bytes
    ->Temporary Internet Files folder emptied: 30057032 bytes
    ->Java cache emptied: 25809077 bytes
    ->FireFox cache emptied: 43046252 bytes
    ->Google Chrome cache emptied: 16373367 bytes
    ->Flash cache emptied: 5363 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 1013760 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 1452257 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 130,00 mb


    OTL by OldTimer - Version 3.1.34.0 log created on 03072010_142549

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...
    a c 295 8 Sécurité
    7 Mars 2010 14:50:07

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    7 Mars 2010 14:57:40

    OK, je vais lancer l'analyse... juste une question : dois-je fermer ou arrêter antivir au préalable?

    Merci
    a c 295 8 Sécurité
    7 Mars 2010 15:32:24

    Pas besoin.
    7 Mars 2010 16:06:10

    Le scan a été assez rapide et apparemment infructueux...

    Voila le rapport d'analye:

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3831
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    07/03/2010 15:55:45
    mbam-log-2010-03-07 (15-55-45).txt

    Type de recherche: Examen rapide
    Eléments examinés: 117636
    Temps écoulé: 4 minute(s), 15 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    7 Mars 2010 16:20:45

    en tout cas ce "virus" n'a pas l'air de plaire non plus à Firefox... ça devient de plus en plus dur de poster quoi que se soit, car le contenu de l'onglet ne cesse de monter, puis descende (le texte se déplace rapidement de haut en bas)... la seule chose efficace ou qui stop le process, c'est de taper sur la touche "échap" puis de recommencer à écrire, ou de fermer les fenètres intempestives!

    Et j'ai aussi l'onglet "recherche" qui apparait en bas de l'onglet... pas très encourageant!!

    Merci pour ton aide en ce dimanche aprem Destrio5...
    a c 295 8 Sécurité
    7 Mars 2010 16:26:45

    Tu peux me faire parvenir une capture d'écran ?
    7 Mars 2010 17:32:20

    Je viens de faire 2 captures, la première concerne la barre de recherche au bas de Firefox et la deuxième c'est l'une des fenètres intempestive quand elle apparait...

    Au fait, comment puis je faire figurer ces deux captures qui sont sur mon bureau (au format JPEG) dans ma réponse?

    Le système est vraiment aléatoire: je viens d'éteindre et de redémarrer mon ordi et les fenètres ont mis plus de temps à revenir... mais ça fini toujours par réapparaitre au bout de quelques minutes, idem avec mes navigateurs.
    7 Mars 2010 17:47:54

    Trop fort... super!
    Voici donc les captures, si j'arrive à prendre la main pendant 1 minute...




    a c 295 8 Sécurité
    7 Mars 2010 18:01:04

    La barre Rechercher en bas de Firefox s'affiche quand tu appuies sur Ctrl+F.
    7 Mars 2010 18:38:16

    Le problème justement, c'est que je n'appuie sur rien du tout.

    Ces fenètres, ou bien meme la barre de recherche apparait toute seule et ne disparait que si je la ferme après l'avoir "neutralisé" au préalable par la touche "echap"... C'est aussi ce qui se passe avec mes navigateurs : subitement, le texte se met à défiler rapidement de haut en bas et ainsi de suite et j'arrive juste à neutraliser temporairement la chose en faisant escape, mais ça revient peu de temps après!

    Bref, je ne sais pas d'où ça vient, car je ne fais pas de téléchargements sensibles ou de pier2pier... mais ce problème semble persister.
    a c 295 8 Sécurité
    7 Mars 2010 18:46:36

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Custom Scans/Fixes en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Program Files\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)

    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Run Fix en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.
    7 Mars 2010 19:01:00

    Voila la réponse.
    Et ça continue...

    All processes killed
    ========== OTL ==========
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\\{56F9679E-7826-4C84-81F3-532071A8BCC5} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56F9679E-7826-4C84-81F3-532071A8BCC5}\ deleted successfully.
    C:\Program Files\Windows Desktop Search\MsnlNamespaceMgr.dll moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: J. Blanchard
    ->Java cache emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Utilisateur
    ->Temp folder emptied: 595710 bytes
    ->Temporary Internet Files folder emptied: 4416762 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 37376869 bytes
    ->Google Chrome cache emptied: 0 bytes
    ->Flash cache emptied: 434 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 40,00 mb


    OTL by OldTimer - Version 3.1.34.0 log created on 03072010_185524

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...
    a c 295 8 Sécurité
    7 Mars 2010 19:02:16

    Ce problème est arrivé d'un coup ?
    7 Mars 2010 19:12:22

    Oui, ce problème est arrivé d'un coup il y a quelques semaines, alors que j'étais à l'étranger, mais connecté à internet... c'est pourquoi j'ai pensé tout de suite à un virus.

    J'ai essayé pas mal d'antivirus et de scan, mais rien n'y fait... Et comme je ne connais personne à qui le laisser pour analyse, c'est pourquoi je me suis tourné finalement vers le forum.

    Ce n'est pas mon pc principal à la maison, mais mon portable secondaire, donc moins grave... mais j'aimerai quand meme arriver à solutionner le problème car c'est dur de travailler avec ce portable du coup!

    J'aurais préféré que se soit plus simple pour toi (comme pour moi), mais de toute façon, merci pour ton aide toute cette journée!
    8 Mars 2010 11:11:19

    Bonjour,
    Peu d'évolution depuis nos "travaux" de dimanche... Sauf que ce ne sont plus des fenêtres comme avant qui s'ouvrent maintenant, mais des dossiers sur le bureau, que je ne peux plus fermer! (ils s'ouvrent les uns derrières les autres à raison d'un par minute environ).
    En effet, une fenêtre s'ouvre me disant que le process est en court d'exécution et que l'arrêt pourrait endommager les fichiers... Mais il n'y a rien d'autre d'ouvert.
    En clair, je le laisse éteint pour le moment jusqu'à ce que quelqu'un ait une idée, sinon ça va finir par un formatage complet!
    Encore merci pour ton aide hier Destrio5, et si tu as d'autres idées ou qu'un autre Helper en à une, je suis preneur!
    En attendant, au boulot et bonne journée à tous.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS