3 process iexplore.exe alors que je n'utilise pas IE. [RESOLU] - Virus/Spywares - Windows & Software
Marsh Posté le 14-02-2010 à 19:38:38
Salut,
on va si tu le veux bien commencer par un diagnostic :
Utilise ce logiciel de diagnostic :
• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Si tu peux me donner les lien ci-joint des rapports de malwarebytes en passant stp.
Marsh Posté le 14-02-2010 à 20:17:03
merci d'avoir rapidement repondu, je fais le scan.
Autre precision que j'ai oublié de citer, l'horloge et la date reviennent au 16 aout 2006 à chaque demarrage.. alors que le PC reste branché au secteur, et ça le fait depuis peu.
Marsh Posté le 14-02-2010 à 20:21:15
Voilà le rapport et son lien:
http://www.cijoint.fr/cjlink.php?f [...] 0lRCqA.txt
et pour malwaresbytes:
http://www.cijoint.fr/cjlink.php?f [...] 0dBgbz.txt
Marsh Posté le 14-02-2010 à 20:49:33
Re,
Citation : Autre precision que j'ai oublié de citer, l'horloge et la date reviennent au 16 aout 2006 à chaque demarrage.. alors que le PC reste branché au secteur, et ça le fait depuis peu. |
Il faut changer la pile bouton de la carte mère et mettre ensuite la date et l'heure du bios à jour. Quitter en tapant sur F10 et répondre yes à la question posée.
Essayes en attendant de mettre la date et l'heure du bios à jour pour voir si elle tient.
Les rapports montrent des traces d'une infection Eorezo, cette infection est installé en même temps qu'un programme de la même gamme, conseil à ton amie de ne plus se connecter et installer un programme venant de leur site.
Pour supprimer les traces de cette infection :
( le rapport est sauvegardé aussi sous C:\Ad-report.log )
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note :
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Il y a aussi une autre trace d'infection qu'aurait du repérer et supprimer malwarebytes, on verra cela plus tard, on supprimera la ligne infectée manuellement.
Si tu as les anciens rapports de MBAM, je suis preneur, tu devrais les trouver dans l'onglet rapport de MBAM.
Fais toujours ce que je t'ai indiqué, je continue d'éplucher le rapport ZHPDiag.
Marsh Posté le 14-02-2010 à 20:56:00
Voici pour le log MBAM avant que je fasse la desinfection.:
http://www.cijoint.fr/cjlink.php?f [...] Pl4no6.txt
ca date d'aujourd'hui, et comme tu le vois la date changée sous windows a changé apres le redémarrage.
j'essaie par le bios et je lance adremover desuite.
Marsh Posté le 14-02-2010 à 21:01:31
C'est bien ce que je pensais, malwarebytes a fait une partie du travail mais n'a pas tout éliminé, en particulier l'infection Gibmedia, navipromo et EoRezo.
J'attends donc le rapport Ad-Remover
Marsh Posté le 14-02-2010 à 21:25:00
j'ai pris mon portable, le PC s'est mis en veille (ecran) et j'ai beau tapoter les touches la souris etc il ne sors pas de la veille d'ecran.
Que fais-je? j'attends?
OK C bon 21%.. à tout à l'heure, ou a demain. En tout cas merci
C pas bon en fait, ça fait 1h qu'il est à 21% et le temps de l'analyse ne tourne plus, le curseur vert clignotte en bas.
Je ne sais pas si c'est normal mais des le lancement d'adremover le pc a redemarré seul.
Bon je crois qu'il y a un probleme avec AD-Remover, je l'ai arrété, puis redémarré, et relancé et même bug, passage en veille, puis il bloque...
Marsh Posté le 15-02-2010 à 00:42:41
Ha ca y est le rapport de ADremover! :
http://www.cijoint.fr/cjlink.php?f [...] UsxEJX.txt
le blocage était causé par un processus qui prenait 99%du CPU, c'était LVPrcSrv.exe, aparemment correspondant a la suite logicielle vendue avec une webcam quickcam (que j'ai mais dont je ne me sers pas)
le blocage a été résolu en stoppant le processus dans le gestionnaire des taches.
je l'ai mis en démarrage manuel.
je n'ai plus les 3 iexplore dans mes processus, c'est déjà ça! .
Par contre j'ai 2 wmiprvse.exe, mais qui sont bien dans C:\WINDOWS\system32\wbem.
Je me posais quand même la question de si c'était normal puisqu'il y est en double.
J'ai aussi 13 svchost.exe ça peut paraître normal..ou pas.. je n'ai pas d'avis dessus.
tu avais raison pour la pile de la CM, en fait au démarrage du bios il se met en pause et me mets CMOS battery low et time not set, je dois ensuite appuyer sur F2 "load defaut values....etc"
Si tu penses que c'est bon on peut passer à l'autre infection dont tu parlais.
Marsh Posté le 15-02-2010 à 17:56:54
Salut,
Okay, on va voir tout ça.
Il y a eu une mise à jour importante de ZHPDiag, peux tu désinstaller ta version actuelle via ajout/suppression de programme et recommencer l'opération comme ceci :
Utilise ce logiciel de diagnostic :
• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Comme ça on aura un rapport à jour pour continuer.
Marsh Posté le 15-02-2010 à 20:22:01
ReplyMarsh Posté le 15-02-2010 à 21:42:35
Salut,
Il y a énormément de codecs installés sur cet ordinateur, tu devrais faire un peu de ménage et installer un pack de codec digne de ce nom.
Sinon fais ceci pour supprimer la ligne néfaste :
• Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
• Copie/colle les lignes suivantes et place les dans ZHPFix :
----------------------------------------------------------
O64 - Services: - (.not file.) - Gestionnaire de mise à jour Winsudate (WinSvc) .(.Pas de propriétaire - Pas de description.) - LEGACY_WINSVC
----------------------------------------------------------
• Clique sur « Tous », puis sur « Nettoyer »
• envoies le lien de lecture de ci-joint dans ta prochaine réponse.
Fais un nouveau scan en mode complet avec malwarebytes, envoies le lien que si positif.
Marsh Posté le 15-02-2010 à 22:21:11
j'avais mis acecodecspack il me semble, que me conseilles tu?
Marsh Posté le 15-02-2010 à 22:26:41
voilà le nouveau après la suppression:
http://www.cijoint.fr/cjlink.php?f [...] SQ9m9W.txt
ET le Le log de MBAM en scan complet:
http://wlw.cijoint.fr/cjlink.php?f [...] V7sWIc.txt
1positif, mais je me demande si ce n'est pas à cause du fait que dans spywareblaster j'ai coché une case verrouillant la page de démarrage d'IE, dans misc IE.settings->internet explorer restrictions.
je n'ai choisi aucune action à faire sur ce fichier pour l'instant dans MBAM.
Marsh Posté le 16-02-2010 à 16:43:00
Salut,
Citation : 1positif, mais je me demande si ce n'est pas à cause du fait que dans spywareblaster j'ai coché une case verrouillant la page de démarrage d'IE, dans misc IE.settings->internet explorer restrictions. |
Très certainement, tu peux sélectionner cette infection, et la mettre en quarantaine. redémarres ton pc et ensuite surpprime la quarantaine de MBAM.
Comment se comporte le pc ????
Fais un scan complet du pc avec antivir à jour.
Tiens moi au courant des résultats.
Il restera à faire des mises à jour importante, du nettoyage principalement sur cet ordinateur.
Marsh Posté le 16-02-2010 à 17:36:01
je suis chez moi,
Je viens d'enlever la ligne des exclusions de MBAM, est ce que pour autant c'est supprimé car il n'était pas dans ma quarantaine..
je lance le scan.
Marsh Posté le 16-02-2010 à 18:50:54
Scan antivir fini, il a trouvé ça (2):
http://www.cijoint.fr/cjlink.php?f [...] F0BJ2e.txt
mis en quarantaine en attendant.
Marsh Posté le 16-02-2010 à 19:57:07
Antivir n'a rien trouvé de suspect.
Fais ceci stp, on va finaliser la désinfection :
* Télécharges HijackThis
* Installes le programme
* lances HijackThis (sous vista clique droit et Exécuter en tant qu'administrateur)
* Cliques sur "Do a system scan and save a logfile"
* le bloc-notes va s'ouvrir, envoies le lien ci-joint dans ta prochaine réponse.
Marsh Posté le 16-02-2010 à 21:02:18
Mis dans c:\, voilà:
http://www.cijoint.fr/cjlink.php?f [...] cvHGBp.txt
Marsh Posté le 16-02-2010 à 22:08:48
Re,
Voici la phase finale de la désinfection de ton ordinateur. c'est une phase très importante qui permet de faire du nettoyage, des mises à jour pour pallier les failles de sécurité et de donner des conseils pour sécuriser au mieux ton ordinateur.
Il ne faut pas perdre de vue qu'aucun programme de sécurité ne te protégera à 100 %. C'est ton comportement vis à vis d'internet qui fera toujours la différence.
Je te demande de suivre toutes ces recommandations dans l'ordre établit :
1- Suppression des lignes inutiles d'HijackThis :
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/control [...] oader5.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/control [...] ader55.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/s [...] Plugin.cab
2-Mises à jour de sécurité :
2.1 - Adobe reader :
La version installée sur ton ordinateur est obsolète, c'est un faille de sécurité. Désinstalles cette version via ajout/suppression de programme. Ensuite connectes toi sur le site le site officiel d'adobe reader. Télécharges la dernière version de ce programme (9.3), fais bien attention de décocher le sponsor McAffe associé avant le téléchargement.
Installes la nouvelle version et vérifies s'il n'y a pas de mises à jour = lance le programme => cliques sur aide puis "rechercher les mises à jour". Laisse toi guider au besoin par le programme.
Note importante : Pour combler une faille de sécurité utilisée très souvent par les infections, désactive la prise en charge Javascript d'Adobe Reader : Lance le (C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe) → clique sur Edition → Préférences → JavaScript → décoche "Activer Acrobat JavaScript" et valide. (merci à anthony5151 pour cette astuce )
2.2- Adobe flash player :
Une nouvelle version de ce programme vient de sortir. Il faut l'installer sur ton ordinateur. Mais avant, rends toi dans ajout suppression de programme et désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin
Ensuite télécharges ces 2 fichiers :
Active X : cliques sur ce lien ==> http://fpdownload.adobe.com/get/fl [...] yer_ax.exe
plugin ==> http://fpdownload.adobe.com/get/fl [...] player.exe
Une fois téléchargé ces 2 fichiers, installes les par double-clique, tu peux ensuite supprimer les fichiers d'installation et vider ta corbeille.
2.3- java :
La version de java qui est installée sur ton ordinateur n'est pas du tout à jour, c'est encore une faille de sécurité importante. Rends toi sur le site de Java, cliques sur "vérifier la version de java" et laisses toi guider par le programme. Une fois cette nouvelle version installée, supprimes toutes les anciennes version via ajout/suppression de programme sauf la 1.6.18.
3-Sécurisation de ton ordinateur :
3.1- Pour sécuriser ta navigation :
Tu utilises couramment firefox, si tu ne les possèdes pas déjà, je te conseille d'installer ces deux modules complémentaires afin de sécuriser ta navigation :
- AdBlockPlus pour bloquer les publicités ;
- WOT, pour t'avertir des sites web dangereux.
WOT existe aussi pour internet explorer ==> C'est par ici
3.2- Vaccination de tes supports amovibles :
Beaucoup d'infections de nos jours se propagent par les supports amovibles (clé usb, disque externe, carté mémoire, lecteur mp3/mp4,...).
Je te conseil donc vivement de les vacciner avec cet outil spécifique :
3.3- Sauvegardes de tes données :
Je t'encourage à faire des sauvegardes régulières de tes données sur des supports externes (CD/DVD, disque externe,....). Certaines infections virulentes ne permettent pas de les sauver et parfois elles sont cryptées et une rançon t'es demandée pour pouvoir les récupérer. Ais toujours une sauvegarde de tes fichiers importants en cas de problème.
4-Nettoyage de ton ordinateur :
4.1- Suppression des outils spécifiques :
Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :
4.2- Supprimes Ad-aware de ton ordinateur, il n'est pas utile. Sers toi régulièrement de malwarebytes et n'oublies pas de le mettre à jour avant tout scan.
4.3- Nettoyage de ton ordinateur :
Télécharges et installes CCleaner
5-Restauration système :
Cette étape est indispensable pour finaliser la désinfection, elle permet de supprimer les points de restauration et du même coup les éventuels malwares qui s'y seraient logés.
/!\ Très Important / !\
- Il faut désactiver et réactiver la restauration système, puis créer un nouveau point de restauration. Suis ce tutoriel pour t'aider
6-Information :
Depuis 2006 le nombre de malwares et les technologies ont évolué de manière sensible toujours pour servir l'économie souterraine lucrative qui sert les auteurs de malwares.
A ce jour, il n'existe pas de technologies capables de protéger efficacement votre ordinateur si l'internaute n'est pas instruit sur les risques encourus sur la toile. Ce transfert de connaissances est indispensable pour construire l'Internet.
C'est pour cela que je t'invite à lire ce fichier PDF qui traite de la sécurité informatique. Ce fichier est issu du forum de malekal_morte, qui a mis en place un Projet Antimalware pour sensibiliser l'opinion publique sur les dangers des malwares. J'adhère à 100% sur ce projet. N'hésites pas à le diffuser autour de toi pour que le maximum de personnes soient prévenues.
L'ordinateur est maintenant désinfecté, tu peux retourner à une activité normale.
Merci pour ta confiance et ta patience. Une désinfection menée par forum interposé n'est pas aisée, c'est long est fastidieux, peu vont au bout et finissent par formater.
Bonne semaine !
Marsh Posté le 17-02-2010 à 18:01:47
OK C tout fait.
J'ai pas mis WOT j'ai déjà site advisor comme module complémentaire pour ça.
voilà le rapport de toolscleaner:
http://www.cijoint.fr/cjlink.php?f [...] BU8ydh.txt
j'ai fais un dernier scan avec antivir (aucun positif) car j'avais une clé usb infectée et son PC était en execution automatique...
Mais apparemment tout est ok.
merci pour ton aide.
Marsh Posté le 17-02-2010 à 21:07:50
Salut,
Tu peux supprimer l'icône de toolscleaner et vider ta corbeille.
Si tu as toujours des doutes sur la clé usb, tiens moi au courant.
Edite ton premier message et mets [RESOLU] dans le titre de ton sujet.
Bonne fin de semaine, pour moi, elle sera synonyme de départ en vacances
Marsh Posté le 14-02-2010 à 19:34:46
Bonjour,
Je fesais une desinfection de l'ordi de ma copine lorsque j'ai vu 3process iexplore.exe dans le gestionnaire des taches, et il prend bcp de memoire.
J'en ai enlevé deja pas mal avec maleware's byte, antivir et ccleaner, pour le reste j'aurai besoin d'un peu d'aide.
Merci.
(Elle est sous XP, elle utilise de temps en temps IE mais j'utilise firefox, et je precise que les iexplore.exe sont present alors que IE ne fonctionne pas.)
Message édité par fabdingo le 18-02-2010 à 23:32:54