Depuis quelques temps, lorsque j'imprime un fichier, le spooler d'une autre imprimante se remplit par après. Le tout semble être assez aléatoire, mais rien ne semble se produire tant que je n'imprime pas un fichier. Plusieurs objets de différente taille (200mo à 4-5go par objet) sont imprimés tout seul, sur une imprimante que je n'utilise pratiquement jamais. Le spooler de l'imprimante se remplit jusqu'à ce mon disque dur soit plein, ce qui occasionne plusieurs problèmes.
J'ai regardé rapidement dans les processus qui roulent, et losrque sa arrive, il y a trois à quatre instances du fichier ntvdm.exe qui roulent et bouffent 100% du CPU. En les fermant, l'ordinateur revient à une vitesse normale, sans causer aucuns problèmes.
De plus, il y a des problèmes lorsque je fait une recherche sur Google. En cliquant sur un lien de Google, je suis redirigé vers de la pub comme de quoi j'ai des virus/spyware et que je dois installer un logiciel pour les enlever... Pour rechercher sur Google, je dois copier l'adresse de chaque lien et l'envoyer dans un nouveau tab, même sur Firefox.
J'ai eu de la difficulté à faire rouler HijackThis également. J'ai dû renommer l'exécutable, il ne se passait rien sinon. C'est à croire si le virus bloque l'installation de nouveaux programmes.
Voici mon log HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:01:43 AM, on 8/31/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\FunctionService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\ofcdog.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
\metal\DATA PUBLIC\Partage\Guillaume\Trigger Server\Auto E2 Support.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
S:\Blswin32\Source\E2SRVADO.EXE
C:\Program Files\Fichiers communs\Adobe\Updater6\Adobe_Updater.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Documents and Settings\administrateur.AMECUSINAGE\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr?utm_source=connexity
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://info.amecusinage.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par AMEC Usinage
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 64.18.167.154 www.amecusinage.com
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [Moniteur OfficeScanNT] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [BellCommander] C:\Program Files\BellCommander\bellcmd.exe startup
O4 - HKCU\..\Run: [AllerCalc] "C:\Program Files\AllerCalc\AllerCalc.exe" /i
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Startup: Auto E2 Support.lnk = Partage\Guillaume\Trigger Server\Auto E2 Support.exe
O4 - Startup: E2 Trigger Server.lnk = Blswin32\Source\E2SRVADO.EXE
O4 - Global Startup: BellCommander.lnk = C:\Program Files\BellCommander\bellcmd.exe
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) - http://metal/ConnectComputer/nshelp.dll
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://shoptech.webex.com/client/T25LSP41EP2-LOCKDOWN/webex/ieatgpc.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5336/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = AMECUsinage.local
O17 - HKLM\Software\..\Telephony: DomainName = AMECUsinage.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = AMECUsinage.local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = AMECUsinage.local
O23 - Service: Service Function (EpServiceFunction) - Kantech Systems - C:\WINDOWS\system32\FunctionService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Unknown owner - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
--
End of file - 7271 bytes
Relancez HijackThis, • Appuyer sur [Do a scan system only]
• Fermer les navigateurs et autre applications,
• Cochez la ligne suivante et appuyer sur [Fix Checked]
Téléchargez Malwarebytes : http://www.malwarebytes.org/mbam.php
• Lancez l'installation,
• Dans [Settings] vous pouvez mettre en Français.
• Faites la mise à jours de Malwarebytes.
• Dans [Recherche] sélectionnez [Exécuter un examen Complet],
• Après le scan, appuyer sur >>>>> [Supprimer la sélection].
>> Redémarrer si nécessaire..
► Postez le rapport de Malwarebytes. ________________________________________________
Savez vous c'est quoi ça >> Trigger Server <<
• Rechercher et Scanner ces fichiers en rapport "Trigger Server" chez virus total : https://www.virustotal.com/gui/ - Auto E2 Support.exe
- E2SRVADO.EXE
► Ne postez que l'adresse http//......(de votre navigateur) des pages web contenant les résultats des scan.
Si vous savez c'est quoi et êtes certain de la légitimité de ce "Trigger Server", good !
Le truc c'est qu'il y a pas d'info la dessus et aussi qu'il y a une infection > "Trigger".
