UC 100 % et infections Fermé

Question

Bonjour,

depuis une semaine, mon pc rame comme un malade alors qu'avant il n'y avait aucun souci. J'ai regardé le gestionnaire des tâches et quand il rame, les UC sont utilisées à 100 %.

Je me demande si ça ne serait pas à cause de zone alarme ?
J'espère que ce n'est pas un virus car j'ai installé beaucoup de protection pour éviter ce souci justement.

J'ai - ad-aware
- zone alarme
- spybot
- trojan remover
- antivir

voici le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:01:31, on 20/01/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\WINDOWS\System32\LVComsX.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ssandsun.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {25F2C589-63E7-4A4A-AE23-E7D6AE2C81B9} - (no file)
O2 - BHO: (no name) - {2E19EFEE-6C71-4049-A350-45DF12AF167B} - (no file)
O2 - BHO: (no name) - {2EEA7C37-7F3A-472E-ADE4-644715F7DFB2} - (no file)
O2 - BHO: (no name) - {3242F08B-662C-4BDC-93EB-3044F90B47A8} - (no file)
O2 - BHO: (no name) - {46A128A2-1D82-4310-B868-47AF2BD2606D} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7DAA0CC8-D300-4E61-879B-FF3D01FEA682} - (no file)
O2 - BHO: (no name) - {8B812F42-0E51-45E7-89AB-FDB97F76CDB0} - (no file)
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\PROGRA~1\iFinger\plugins\IE.ifp
O2 - BHO: (no name) - {A45801C1-49AD-4BC1-92C9-5C42748E608F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Morpheus Toolbar - {3F3714A9-89A4-46be-8AF3-D0C9D1FB03F9} - C:\Program Files\MorpheusBar\bar\1.bin\MORPHBAR.DLL
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: iFinger 2.0.lnk = C:\Program Files\iFinger\iFinger.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: urqRHxuu - C:\WINDOWS\
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcappcapd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
End of file - 6840 bytes


Merci à vous

DeNisCoOl · Answer

salut lexalexa,


Vous semblez avoir oublié une chose primordial dans la protection.
Avant tout logiciel pare feu ou AV ou AS son système doit être mis à jour très régulièrement.
http://www.update.microsoft.com/windowsupdate/v6/default.aspx
J'imagine que vous devez avoir vos raisons pour ne pas l'avoir fait.
Vous avez soit réinstallé windows dernièrement avec un vieux cd ou vous n'avez jamais fait les mise à jour ce qui vous expose a une multitude d'infection, si je puis dire en ce moment vous avez windows passoire 1.0.
Ad aware est obsolète il ne fait que supprimer les cookies.
Trojan remover a une efficacité limité.
Malwarebytes Antimalware bien meilleur actuellement ou Superantispyware.


Et vous avez effectivement une infection, de type vundo.
O20 - Winlogon Notify: urqRHxuu - C:\WINDOWS\ 

Vous semblez avoir déjà nettoyé votre machine.

Relancer HJThis et cocher les lignes suivante:
O2 - BHO: (no name) - {25F2C589-63E7-4A4A-AE23-E7D6AE2C81B9} - (no file)
O2 - BHO: (no name) - {2E19EFEE-6C71-4049-A350-45DF12AF167B} - (no file)
O2 - BHO: (no name) - {2EEA7C37-7F3A-472E-ADE4-644715F7DFB2} - (no file)
O2 - BHO: (no name) - {3242F08B-662C-4BDC-93EB-3044F90B47A8} - (no file)
O2 - BHO: (no name) - {46A128A2-1D82-4310-B868-47AF2BD2606D} - (no file)
O2 - BHO: (no name) - {7DAA0CC8-D300-4E61-879B-FF3D01FEA682} - (no file)
O2 - BHO: (no name) - {8B812F42-0E51-45E7-89AB-FDB97F76CDB0} - (no file)
O2 - BHO: (no name) - {A45801C1-49AD-4BC1-92C9-5C42748E608F} - (no file)
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)

Fermer toutes vos applications et cliquer sur fix checked.


Ensuite bien suivre la procédure expliqué dans ce lien (à faire en mode sans échec) :
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
Renvoyer le rapport en fin d'analyse (Bien supprimer ce qui a été détecté).


Votre version d'adobe reader est dépassé: https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html
Ainsi que votre version java : https://www.java.com/fr/download/


A+

Denis

lexalexa · Answer

voilà j'ai enlevé les éléments de hijackthis, ensuite j'ai analysé mon ordi avec malwarebytes mais il n'a rien détecté.

voici quand même le log

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1671
Windows 5.1.2600 

21/01/2009 11:42:50
mbam-log-2009-01-21 (11-42-49).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 129163
Temps écoulé: 1 hour(s), 21 minute(s), 31 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


J'ai mis à jour adobe et java.

merci

DeNisCoOl · Answer

salut,

- Avez vous bien effectué l'analyse MB'AM en mode sans échec?
Car certaines infections vundo sont coriace, mais on va supposer que oui.


- Je me demande si ça ne serait pas à cause de zone alarme ? 
Avez vous regardé dans le gestionnaire de tâches (ctrl+alt+suppr.), onglet processus, cliquer sur l'entête de colonne processeur vous verrez quelle application occupe le processeur.
Mais si comme vous supposez c'est le parefeu il peut être occupé à bloquer de nombreuse tentative d'intrusion ou d'émission non programmé.


- À propos de Vundo le plus efficace est Combofix mais il est beaucoup plus intrusif donc bien suivre les instructions pour pouvoir revenir en arrière en cas d'erreur.

Télécharger Combofix.exe (par sUBs) à partir d’un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
https://forospyware.com 
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/ 

Important, enregistrer le sur le bureau.

Bien suivre le tutoriel officiel en français : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

&#9658; Déconnecter internet et refermer les fenêtres de tous les programmes en cours. 

&#9658; Désactiver provisoirement et seulement le temps de l'utilisation de ComboFix,  la protection en temps réel des Antivirus et Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Double cliquer combofix.exe  et suivre les invites. 
Attention, n'utilisez pas la souris ni le clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait faire figer l'ordinateur.

Lorsque le scan sera complété, un rapport apparaîtra.

Sélectionner tout le rapport (Ctrl+A), puis Copier (Ctrl+C)/ Coller (Ctrl+V) ce rapport dans la prochaine réponse
- Si le fichier ne s'ouvre pas, il se trouve ici ==> C:\ComboFix.txt)


&#9658; Réactiver la protection en temps réel de ton Antivirus et de tes Antispywares, avant de se reconnecter à internet. 


A+


Denis

DeNisCoOl · Answer

lexalexa,


- Que puis-je faire d'autre maintenant ?
Ceci : http://www.update.microsoft.com/windowsupdate/v6/default.aspx
Mise à jour service pack 1, 2 et 3.
Ègalement Iexplorer 7
Tout ceci pour des raisons de sécurité, c'est long mais il faut le faire.


- À propos de MB'AM je n'étais pas bien à jour, il ne faut pas le faire en mode sans échec car son moteur cible surtout les processus qui sont actifs en mode normal. 


- Télécharger OTMoveIt3(de Old_Timer) sur le Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt3.exe

/!\ Manip crée spécialement pour cette infection... Ne pas reproduire chez vous, car pourrait endommager votre machine /!\

Double cliquer sur OTMoveIt3.exe pour le lancer. 
Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.
Copie la liste qui se trouve en gras ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt "Paste instructions for item to be moved":

 
:Processes
Explorer.exe

:Files
c:\windows\lydnofz.ini 
c:\windows
idojzq.ini 

:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\windowsnt\currentversion\winlogon
otify\urqRHxuu] 

:Commands
[purity] 
[emptytemp]
[start explorer]
[reboot]

 
Cliquer sur MoveIt!  pour lancer la suppression. 
Le résultat apparaîtra dans le cadre Results. 
Cliquer sur Exit pour fermer. 

Il sera demandé de redémarrer le pc pour achever la suppression. 
Accepter par Yes. 


--> Poster le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier ********_******.log - les *** sont des chiffres représentant la date et l'heure)


- Quand vous aurez fait vos mises à jour renvoyer un rapport HJThis


A+


Denis

Frederic76 · Answer

sans avoir lu tout jusqu'au bout, plusieurs choses :
- trop de securité les uns au dessus des autres font moins de protection que ce qu'il y a juste besoin, c'est a dire un bon antivirus bien reglé, un firewall meme celui de windows. apres, c'est du superflu si l'antivirus est bon et va scanner tout avant. 2 logiciels antivirus vont etre moins efficace qu'un seul meme pourri et mal reglé. idem pour les autres. on met 1 antivirus, un firewall. le reste est superflu.

- quand on a un ordinateur connecté sur le net (meme si connecté une fois par an pendant 10 minutes) et/ou avec des prets de cd/clés... il faut toujours mettre l'ordi a jour : le windows (windows update), l'antivirus, les autres éventuels logiciels de securités. idem pour les autres logiciels comme adobe (la version 9 devraient bientot voir le jour... et toi, tu as la 7 !)

zone alarm est un tres bon pare feu mais il a un inconvenient : s'il est mis trop haut, il va ralentir de trop la connection internet voir reussir a faire ramer l'ordi le plus puissant existant. zone alarm est en gros bon si tu te sent a un moment donné, en danger (pirate).

là, si j'puis dire, ton ordi, c'est une vraie passeoire ! met a jour le windows en passant au SP3 et idem pour l'antivirus tout de suite.

ensuite, pourquoi un ordinateur peut ramer ? reponse :
- pleins de logiciels inutiles se lancent au demarrage. en effet, meme si certains sont plus que necessaires voir obligatoire, certains autres ne le sont pas du tout et sont meme là pour ralentir (exemple : logitech, post it, winamp, trojan scanner, nero, adobe...)

DeNisCoOl · Answer

salut Frederic,

Merci, sans avoir lu tout jusqu'au bout, plusieurs choses : 
Justement c'est une erreur lis tout avant de faire un roman ;-)
J'avais déjà proposé 2 fois les mises à jours SP ???
Une chose à la fois, tout n'était pas terminé, il y avait déjà beaucoup à faire.


-------------
lexalexa,

En plus de suivre ce qui est dans le message #5:
http://www.commentcamarche.net/forum/affich 10602723 uc 100 et infections?#5

À propos des applications inutiles au démarrage de windows:
Cocher les lignes suivantes

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"


Pour les autres mises à jour :
Internet explorer 7: https://support.microsoft.com/fr-fr/allproducts
Adobe : https://get2.adobe.com/fr/reader/otherversions/
Java : https://java.com/fr/

A+

Denis

DeNisCoOl · Answer

ssalut,

A propos du message 7 Deniscool, avec quel logiciel dois je cocher les lignes mentionnées ? 
Désolé j'ai écrit trop vite hier soir.

Relances HJThis, clic sur do a scan only, coches toutes les lignes indiqué précédemment.
Puis clic sur fix checked.
Pour plus de détails sur comment faire, suivre le tutoriel ci dessous :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm


Je ne me sers pas de internet explorer, je dois le mettre à jour quand même ? 
Oui toujours car tu n'as parfois pas le choix de passer par IExplorer dans de rare cas.
Si tu utilises Firefox utilises l'add on IE-Tab qui te permet de naviguer comme si tu étais sous IE n'oublies pas de fermer l'onglet ensuite ;-)


Car j'ai d'abord pensé à acheter Vista mais j'ai déjà eu l'occasion de l'essayer et je ne l'aime pas du tout donc je préfère rester sur XP. J'espère que vous pourrez m'aider là dessus aussi.
Vista est lourd gourmand en ressources, la version windows 7 semble revenir en arrière sur ce point justement.

Je te conseillerais de trouver un assembleur de micro ordinateur dans ta ville, habituellement c'est eux qui pratiquent les meilleurs prix, sinon en ligne essayes Amazon.

Windows XP pro SP3 OEM: 139 Euros
https://www.amazon.fr/Windows-XP-Pro-SP3-OEM/dp/B001BTWSDQ
Windows XP pro OEM: 75Euros
https://www.amazon.fr/Microsoft-Windows-XP-Professionnelle-OEM/dp/B000HD13N8/ref=pd_ts_sw_7?ie=UTF8&s=software

Mais en license OEM, il faudrait se renseigner car ce genre de licence doit être associé à la vente d'une machine, je ne pourrais pas te donner plus de détails là dessus.

Ou appelle Microsoft France ou des revendeurs style Boulanger, Darty, savoir combien ils te proposent pour t'envoyer une clé d'activation avec ou sans CD.


A+


Denis

UC 100 % et infections

7 réponses

Discussions similaires