Bonjour,
 
il y a quelques mois tout allait bien sur mon PC sous WinXP home SP3.
un beau jour des problèmes apparaissent : des ralentissements et surtout la souris qui d'un coup se déplace pour aller fermer la fenêtre active puis tenter de fermer windows.
en tentant de contrôler comme je le pouvais la souris (puis en la débranchant) je n'ai pas mis longtemps a comprendre que la souris était contrôlée par un programme.
 
Après tous les scans antivirus, hijackthis imaginables je n'ai rien trouvé.
Pourtant dans le gestionnaire de taches windows un programme m'intriguait : iexplore.exe.
N'utilisant que firefox je ne comprenais pas pourquoi ce programme ce lançait et surtout pourquoi il se relancait tout seul quelques secondes après avoir stoppé le processus.
 
Comme aucun antivirus ne le détectais j'ai du me résoudre a le supprimer manuellement.
Au passage j'ai également rencontré un keylogger nommé system-file qui après avoir enregistré des semaines de mails, discussions, lignes de code et autres données refusait de s'effacer.
J'ai du me résoudre à le faire crasher avec ollyDBG.
 
Bref, depuis quelque temps, tout allait de nouveau mieux jusqu'à il y a peu de temps ou le cauchemard reprend : fenetres qui se ferment, souris incontrolable pendant plusieurs minutes ...
 
et le problème principal c'est qu'aucun processus suspect pourrait l'executer (a part peut-être le systeme de mise a jour de windows  - qui comporterait alors une faille - ce dernier étant particulièrement actif après avoir repris le controle de la souris.
 
Que dois-je faire ?

Bonjour,
 
C'est surprenant, d'après ce que tu dis, ça ressemble ni plus ni moins à une prise de main à distance.
 
Il y a des logiciels qui permettent de faire ça... La personne en face voit ton écran (et donc tes messages ici) et peut en prendre le contrôle comme cela semble être arrivé.
 
Dans un premier temps, pour être sûr que ça ne recommence pas, déconnecte ton Pc d'Internet quand tu ne t'en sers pas. L'idéal serait que tu te connectes ici depuis une autre machine pour qu'on puisse résoudre ça tranquillement.
 
Je veux bien essayer de t'aider, mais il va falloir suivre quelques procédures.
 
Dans un premier temps, utilise ce logiciel de diagnostic s'il te plaît. Si HijackThis est déjà présent sur ton PC, RSIT n'aura pas besoin de le télécharger et l'utilisera automatiquement, donc pas besoin d'être connecté à Internet une fois que tu l'auras téléchargé :
 
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.  
• Clique sur ' Continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : ne les poste pas directement ici (une règle de ce forum l'interdit). A la place, suis ce tuto pour héberger le rapport ailleurs et poste le lien qui est donné stp.
 
Tutoriel illustré pour t'aider à utiliser RSIT : http://forum-aide-contre-virus.be/tutoriel_RSIT.html
 

voici log.txt :
http://www.mirari.fr/EdBD
et info.txt
http://www.mirari.fr/vf0J

Hum...
 
Je ne vois pas d'éléments néfastes évidents dans ces rapports, ni de logiciel permettant la prise de main à distance.
 
1) Par contre il y a un fichier suspect que tu devrais faire analyser en ligne :
 
• Rends toi sur le site http://www.virustotal.com/fr/  
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide :  
 
C:\WINDOWS\system32\System-file.exe  
       
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.  
• Fais un copier/coller du rapport sur le forum et poste-le ensuite ici.  
   
Si tu ne trouves pas le fichier, fais ceci :  
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage  
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.  
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
 
 
2) Tu peux également faire ce scan généraliste, très efficace, avec Malwarebytes' Antimalware :
 
• Télécharge et installe Malwarebytes' Anti-Malware
• Veille à ce que la case "Mettre à jour Malwarebytes" soit cochée, sinon fais la mise à jour manuellement  
• Une fois installé, lance MBAM et va dans l'onglet "Recherche", coche "Exécuter un examen Rapide" puis fais "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection (pense aussi à vider la quarantine)
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'odinateur, accepte
• Pour finir, poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

Systeme-file c'est le fameux keylogger dont j'ai récupéré le log.
C'est possible qu'il se soit remis.

Par contre il n'apparait pas dans la liste des fichiers.
J'essaye un attrib -s -h

non le prog n'existe pas a cet emplacement

Ok, dans ce cas, peut-être que MBAM va le nettoyer, sinon on passera à d'autres outils.
 
On verra quand tu auras les deux rapports ^^

j'ai donc fait un scam MBAM et il a trouvé ceci :

http://www.mirari.fr/DAJZ

MBAM à ensuite supprimé cette fameuse clé du registre.
Toutefois je doute profondément que ce soit lié étant donné que cette clé est censée lancé un programme au démarrage de l'ordinateur et que ce fameux programme (System-file.exe) n'existe plus.

Sinon j'ai quelques prog genre SuperScan, ça pourrait servir pour savoir si c'est un trojan, non ?

Le problème reste irrésolu, puisque ma souris continue a faire des siennes.

Bonjour,
 
MBAM indique ceci :
 
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer.exe (Trojan.Agent) -> No action taken.
 
Tu as bien redémarré le PC après le scan de MBAM?
 
Pense aussi à vider la quarantaine.
 
Sinon, je te propose d'utiliser aussi cet outil spécialisé dans l'éradication de trojans :
 

• Télécharge SDfix (créé par AndyManchesta) et enregistre-le sur le Bureau
• Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur ton disque C:

/!\ Redémarre le Pc en mode sans échec : Pour entrer dans ce mode, redémarre le Pc et tapote sur la touche F8 (ou F5) jusqu'à l'apparition du menu de démarrage : Choisi alors le mode sans échec  
 

• Choisi ton compte personnel, et non celui de l'Administrateur ou autre.  
• Ensuite, une fois arrivé sur le Bureau, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.  
• Appuyer sur Y pour commencer le processus de nettoyage.  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.  
• Appuyer sur une touche pour redémarrer le PC.  
• Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.  
• Après le chargement du Bureau, l'outil terminera son travail et affichera ' Finished '.  
• Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau. Le rapport SDFix (Report.txt => dans le dossier SDFix) s'affichera en même temps
• Poste ce rapport dans ta prochaine réponse s'il te plaît.

Attention, tu n'auras pas de connexion Internet dans le mode sans échec, donc tu peux imprimer ces instructions si tu le souhaites.