Utilisation processeur en permanence par msn

Utilisation processeur en permanence par msn - Virus/Spywares - Windows & Software

Marsh Posté le 10-03-2011 à 13:32:53    

Salut,
 
Hier j'ai eu une alerte avast comme quoi il avait bloqué un dropper : M1DrWeb  (qui se trouvait dans le repertoire temp)
 
Aujourd'hui je redémarre le pc, tout se passe bien mais là je me rend compte que msn rame a fond, le curseur passe sans arret entre la fleche normale et le sablier très rapidement et msn rame a mort... J'en conclue qu'il est infecté par qq chose, mais je ne sais pas comment le détecter et comment le virer le cas échéant ?
 
C'est très génant est ce que quelqu'un pourrait m'aider ?
 
Merci d'avance !
Rémi

Reply

Marsh Posté le 10-03-2011 à 13:32:53   

Reply

Marsh Posté le 10-03-2011 à 18:34:27    

Salut.
 
Bienvenue ici.
 
Il est interdit de poster un rapport sur ce forum. Donc, lis bien mes instructions, en cas de soucis, demande-moi ;)
 
Utilise ce logiciel de diagnostic :
 
   
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
++

Reply

Marsh Posté le 10-03-2011 à 19:07:42    

Merci de ton aide !
 
Voici le rapport ZHDiag : http://tinypaste.com/b608a
Et un rapport Ad-Remover que j'avais fait précédemment : http://tinypaste.com/5de35a
 
Ad-Remover m'a trouvé ceci en rapport avec Msn (et les a supprimé) :
Clé trouvée: HKLM\Software\Messenger Plus!\OpenCandy
Clé trouvée: HKLM\Software\Wow6432Node\Messenger Plus!\OpenCandy
 
Et pour finir un scan de malwarebytes : http://tinypaste.com/bba2c
http://img695.imageshack.us/img695/9872/sanstitre1vb.png


Message édité par fouinardomeo le 10-03-2011 à 19:17:07
Reply

Marsh Posté le 10-03-2011 à 19:27:11    

Hey ;)
 
Ouais ben t'as tout fait tout seul !  :p  
 
Alors il me semble que tu as bien lancé ZHPDiag après les scan AD-R et MBAM si je ne m'abuse !  :D  
 
Donc :  
 
    • Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
     
    • Copie les lignes suivantes :
 
    ----------------------------------------------------------
 
O4 - HKCU\..\Run: [KUGHGZXAKT] C:\Users\Remi\AppData\Local\Temp\Ghi.exe (.not file.)
O4 - HKUS\S-1-5-21-3383570592-578237019-1991581672-1000\..\Run: [KUGHGZXAKT] C:\Users\Remi\AppData\Local\Temp\Ghi.exe (.not file.)
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job  
[MD5.00000000000000000000000000000000] [APT] [{22116563-108C-42c0-A7CE-60161B75E508}] (.Pas de propri?taire.) -- C:\Users\Remi\AppData\Local\Temp\Ghi.exe (.not file.)  
[MD5.00000000000000000000000000000000] [APT] [{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}] (.Pas de propri?taire.) -- C:\Users\Remi\AppData\Local\Temp\Ghh.exe (.not file.)  
[MD5.00000000000000000000000000000000] [APT] [{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}] (.Pas de propri?taire.) -- C:\Users\Remi\AppData\Local\Temp\Ghj.exe (.not file.)
[HKCU\Software\3D26895M1Z]  
[HKCU\Software\KUGHGZXAKT]      
[HKCU\Software\NtWqIVLZEWZU]    
[HKCU\Software\XML]    
 
    ----------------------------------------------------------
 
    • Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
 
    • Clique sur « Tous », puis sur « Nettoyer »
 
    • Poste le rapport/lien dans ta prochaine réponse
 
===============================================================
 
Tu connais les outils comme AD-Remover ? Ou t'as lancé ça par hasard ?  
 
===============================================================
 
Relance MBAM clique sur l'onglet "Mise à jour" et lance la mise à jour.  
 
Une fois terminée, reviens sur l'onglet "Recherche" et relance un examen dit "Rapide".  
 
Poste le nouveau rapport/lien dans ta prochaine réponse.
 
Précise-moi aussi comment va le pc après ça ;)
 
++

Reply

Marsh Posté le 10-03-2011 à 19:52:02    

Merci pour ton aide :)
 
Mon soucis avec msn ne se manifeste plus ça a l'air d'avoir résolu le problème !!
 
Juste j'y repense maintenant, j'ai cliqué par mégarde sur un lien dans un spam sur un forum qui m'a amené sur une page de profil d'un autre forum pérave et j'ai quitté la page immédiatement. Peu de temps après avast a détecté un "dropper", c'était ce fichier Ghi.exe , ghh etc... j'ai tout viré a la main. Et c'est au reboot suivant que les emmerdes ont commencées... Comment un simple site peut-il copier des fichiers exe sur mon disque et ajouter des entrées dans la base de registre ??
 
Ca me fait repenser a un truc qui m'a étonné lors de l'installation de Chrome depuis Firefox, en cliquant sur le bouton l'install exe s'est ouverte toute seule pas de fenetre de téléchargement ni rien de la part de firefox !!! comment c'est possible ? (au cas ou tu le sache ^^)
 
 
Et pour ce que tu m'as dis de faire (j'ai collé ici car c'est pas très long...) :
 

Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-10-03-2011-19-46-01.txt
Run by Remi at 10/03/2011 19:46:01
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
 
========== Clé(s) du Registre ==========
HKCU\Software\3D26895M1Z  => Clé absente
HKCU\Software\KUGHGZXAKT  => Clé absente
HKCU\Software\NtWqIVLZEWZU  => Clé absente
HKCU\Software\XML  => Clé absente
 
========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [KUGHGZXAKT] C:\Users\Remi\AppData\Local\Temp\Ghi.exe (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-21-3383570592-578237019-1991581672-1000\..\Run: [KUGHGZXAKT] C:\Users\Remi\AppData\Local\Temp\Ghi.exe (.not file.)  => Valeur absente
 
========== Fichier(s) ==========
c:\users\remi\appdata\local\temp\ghi.exe  => Supprimé et mis en quarantaine
c:\windows\tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job  => Supprimé et mis en quarantaine
c:\windows\tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job  => Supprimé et mis en quarantaine
c:\windows\tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job  => Supprimé et mis en quarantaine
c:\users\remi\appdata\local\temp\ghh.exe (.not file.)  => Fichier absent
c:\users\remi\appdata\local\temp\ghj.exe (.not file.)  => Fichier absent
 
========== Tache planifiée ==========
Task : {22116563-108C-42c0-A7CE-60161B75E508}  => Tache absente
Task : {62C40AA6-4406-467a-A5A5-DFDF1B559B7A}  => Tache absente
Task : {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}  => Tache absente
 
 
========== Récapitulatif ==========
4 : Clé(s) du Registre
2 : Valeur(s) du Registre
6 : Fichier(s)
3 : Tache planifiée
 
 
End of the scan


 
Et le nouveau scan de MBAM n'a rien trouvé !
 
J'avais deja utilisé AD-Remover mais il y a longtemps et je l'avais totalement oublié, j'suis retombé dessus en recherchant parallelement des solution à mon problème ;)
 
On dirait bien que le problème est resolu :)
 
Merci
Rémi

Reply

Marsh Posté le 10-03-2011 à 20:15:20    

Ok ;)
 
Tu peux vider la quarantaine de MBAM.
 
Tu as redémarré ton pc depuis le premier scan MBAM ?  
 
================
 
Tu pourras me refaire un tout dernier scan avec ZHPDiag ? Après quoi, puisque tu me dis que tout est ok, on finalisera ;)
 
====================================
 

Citation :

Juste j'y repense maintenant, j'ai cliqué par mégarde sur un lien dans un spam sur un forum qui m'a amené sur une page de profil d'un autre forum pérave et j'ai quitté la page immédiatement. Peu de temps après avast a détecté un "dropper", c'était ce fichier Ghi.exe , ghh etc... j'ai tout viré a la main. Et c'est au reboot suivant que les emmerdes ont commencées... Comment un simple site peut-il copier des fichiers exe sur mon disque et ajouter des entrées dans la base de registre ??


 
Comment, c'est peut-être un peu long à expliquer ...  
Regarde ici : http://forum.malekal.com/pourquoi- [...] t3259.html
Et là : http://forum.malekal.com/les-explo [...] t3563.html
 
(Ce serait bien de savoir quel site ...  :D )
 
Tu es sûr de n'avoir rien lancé ? (xxxxxx.exe ?)
 
Le site a pu profiter d'une faille de sécurité dans ton navigateur. Tu étais sur Chrome ? Pour moi (et pour pas mal de personnes aussi :D) Chrome et IE sont insuffisant en terme de sécurité ;)
 

Citation :

Ca me fait repenser a un truc qui m'a étonné lors de l'installation de Chrome depuis Firefox, en cliquant sur le bouton l'install exe s'est ouverte toute seule pas de fenetre de téléchargement ni rien de la part de firefox !!! comment c'est possible ? (au cas ou tu le sache ^^)


 
Tu l'as "téléchargé" où Chrome ? On peut parfois lancer les installations directement depuis le navigateur sans passer par le téléchargement. Bien sûr c'est plus dangereux ! :D  

Reply

Marsh Posté le 10-03-2011 à 21:20:10    

L'installation de chrome je l'ai effectué depuis le site de google et à partir de firefox.
 
Non jamais executé un exe et oui j'étais sur chrome quand j'suis allé sur la page en question :D
 
Dernier scan ZHPDiag : http://tinypaste.com/121ba
 
Encore merci pour ton aide !


Message édité par fouinardomeo le 10-03-2011 à 21:20:21
Reply

Marsh Posté le 10-03-2011 à 23:09:24    

DelFix - Option Suppression
 
Télécharge DelFix (d'Xplode) sur ton bureau.  
 
Lance-le puis sélectionne l'option Suppression et valide en appuyant sur la touche [Entrée]
 
Patiente quelques secondes puis copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.  
 
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )  
 
++

Reply

Marsh Posté le 10-03-2011 à 23:12:53    

Qu'est ce qui se passe t'as vu des trucs qui restent ?
 
http://tinypaste.com/086d1e
 
apres : http://tinypaste.com/618832


Message édité par fouinardomeo le 10-03-2011 à 23:16:31
Reply

Marsh Posté le 11-03-2011 à 10:32:28    

Hello ;)
 
Non, DelFix est utilisé pour supprimer les outils de désinfection que l'on a utilisés ;)
 
================
 
Vérifie ici ta version de Java, si tu es en retard, mets-toi à jour (tu dois l'être de pas mal :D ) : http://www.java.com/fr/download/installed.jsp
 
================
 
!! TRES IMPORTANT !!
 
Supprimer les anciens points de restauration:
 
▶ Procédure sous Vista/7 : /!\Désactive la restauration puis réactive-la /!\ Cela purgera la restauration du système.
http://www.commentcamarche.net/faq [...] e-de-vista
 
Les points sont supprimés.
 
Création d'un nouveau point:
 
▶ Procédure de création d'un point de restauration "sain" sous Vista/7 : http://www.pcentraide.com/index.php?showtopic=86401
 
Nomme-le par exemple: "Après désinfection ..." pour te rappeler.
 
========================  
 
Pour une navigation plus sûre :
 
Je ne saurais que te conseiller Firefox comme navigateur par défaut ;)
 
http://www.mozilla-europe.org/fr/firefox/
 
Addon à ajouter à firefox pour le sécuriser:
 
▶ Ici : WOT : https://addons.mozilla.org/en-US/firefox/addon/3456
▶ Explications/Demo ici : http://www.mywot.com/fr/demo
 
+ ceux-ci: http://www.malekal.com/securiser_Firefox.php  
 
========================
 
Utile, à lire absolument, quelques minutes de prévention, notamment sur le P2P et les cracks !  http://www.malekal.com/fichiers/pr [...] alware.pdf
 
Si tu n'as plus de soucis et/ou question, pour moi, c'est ok.
 
++

Reply

Marsh Posté le 11-03-2011 à 10:32:28   

Reply

Marsh Posté le 14-03-2011 à 03:12:32    

Merci pour ton aide :) Je viens de faire ce que tu m'as indiqué désactivation/réactivation et creation d'un nouveau point de restauration.
 
Pour firefox, je l'ai, je n'utilise chrome que pour naviguer sur les forum/blogs d'infographie, etc. vu que je switch entre 3/4 pc assez souvent, j'aime bien le système de favoris partagés de chrome !

Reply

Marsh Posté le 14-03-2011 à 10:46:02    

Ok pas de soucis :)
 
Bon surf et prudence sur le net :)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed