Plantage Iexplorer quand ouverture d'un lien Résolu/Fermé

Question

Bonjour, 
J'ai un gros problème sur un des postes de notre bureau (Win XP SP3) 
En effet à chaque foi que j'ouvre internet explorer j'arrive sur ma page d'accueil (google).  
Je peux faire une recherche sur google mais dès que je clique sur un lien le navigateur plante et se ferme avec une fenêtre "internet explorer à rencontrer un problème et doit se fermer..." 
J'ai fait un essaie avec différents navigateurs : 
IE 7 : même problème 
IE 8 : même problème 
Firefox : même problème  
Google chrome : même problème 

J'ai essayé en désactivant tout les modules complémentaires : même problème 
J'ai fait différents scan antivirus : rien trouvé 
J'ai désinstallé Java et Flash puis je l'ai es réinstallé : même problème 
j'ai essayé RemoveIEHelpers : même problème 

J'ai aussi remarqué qu'il y avait deux processus Iexplore.exe dans le gestionnaire de taches lorsque j'ouvre une page internet.
Bref J'ai besoin d'un HELPER, car la réinstallation complète du système n'est pas envisageable. 
Je poste ci dessous le rapport Hijackthis : 

Je vous remercie d'avance de l'aide que vous pouvez m'apporté. 


Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 20:35:11, on 17/06/2010 
Platform: Windows XP SP3 (WinNT 5.01.2600) 
MSIE: Internet Explorer v8.00 (8.00.6001.18702) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\spoolsv.exe 
C:\WINDOWS\System32\gearsec.exe 
C:\WINDOWS\System32\svchost.exe 
C:\Program Files\Java\jre6\bin\jqs.exe 
C:\Program Files\Trend Micro\Client Server Security Agent
trtscan.exe 
C:\WINDOWS\System32
vsvc32.exe 
C:\WINDOWS\System32\svchost.exe 
C:\Program Files\Trend Micro\Client Server Security Agent	mlisten.exe 
C:\windows\system\hpsysdrv.exe 
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe 
C:\Program Files\Trend Micro\Client Server Security Agent\TmPfw.exe 
C:\WINDOWS\System32\hphmon05.exe 
C:\Program Files\iTunes\iTunesHelper.exe 
C:\Program Files\iPod\bin\iPodService.exe 
C:\WINDOWS\system32\ps2.exe 
C:\Program Files\QuickTime\qttask.exe 
C:\WINDOWS\system32undll32.exe 
C:\Program Files\Adobe\Photoshop Album Edition D?couverte\3.2\Apps\apdproxy.exe 
C:\WINDOWS\system32\CAPRPCSN.EXE 
C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe 
C:\Program Files\HP\HP UT\bin\hppusg.exe 
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe 
C:\Program Files\Messenger\msmsgs.exe 
C:\WINDOWS\system32\ctfmon.exe 
C:\WINDOWS\system32\spool\drivers\w32x86\2\CAPPSWN.EXE 
C:\Program Files\Windows Media Player\WMPNSCFG.exe 
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 
C:\WINDOWS\system32\spool\drivers\w32x86\2\CAPPSWN.EXE 
C:\Program Files\Trend Micro\Client Server Security Agent\CNTAoSMgr.exe 
C:\Program Files\Trend Micro\Client Server Security Agent	mproxy.exe 
C:\WINDOWS\explorer.exe 
C:\Documents and Settings\Propri?taire\Bureau\HiJackThis.exe 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Clubic.com 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\program files\hp\digital imaging\bin\hpdtlk02.dll 
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe 
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" 
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe 
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe 
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe 
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE 
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe 
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe 
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe 
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup 
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect 
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE 
O4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r 
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\2\CAPONN.EXE 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition D?couverte\3.2\Apps\apdproxy.exe" 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe 
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow 
O4 - HKLM\..\Run: [OE] C:\Program Files\Trend Micro\Client Server Security Agent\TMAS_OE\TMAS_OEMon.exe 
O4 - HKLM\..\Run: [HPUsageTracking] C:\Program Files\HP\HP UT\bin\hppusg.exe "C:\Program Files\HP\HP UT\" 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe" 
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe 
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Propri?taire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE R?SEAU') 
O4 - Global Startup: Fen?tre d'?tat Canon LBP-800.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\2\CAPPSWN.EXE 
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 
O4 - Global Startup: HPZSETUP.LNK = E:\hpzsetup.exe 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://servdomaines.dom.ldqm.local/... 
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://servdomaines.dom.ldqm.local:4343/officescan/console/ClientInstall/setup.cab 
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://servdomaines.dom.ldqm.local/... 
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab 
O23 - Service: Service de s?curit? mat?rielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe 
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE 
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE 
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe 
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe 
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe 
O23 - Service: Scan en temps r?el Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent
trtscan.exe 
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe 
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\..\BM\TMBMSRV.exe 
O23 - Service: Trend Micro Client/Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent	mlisten.exe 
O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\TmPfw.exe 
O23 - Service: Service proxy Trend Micro Client/Server Security Agent (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\TmProxy.exe

snconnect · Answer

bonjour 
c'est quoi le processus C:\WINDOWS\System32\gearsec.exe  ? 
tu arrives a te connecter sous msn? 
peut essayer de partager ta connexion et voir si l'autre machine arrive a s connecter? 
ou bien installer virtual pc et lancer un live cd linux  dedans par exemple ou autre pour voir si tu as la connection... 

ps :
O23 - Service: Service proxy Trend Micro Client/Server Security Agent (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\TmProxy.exe
es ce que tu as configure un proxy?

esperant t'avoir aidé 

Ce qu'on cherche loin est,le plus souvent,devant nous,il suffit juste de se baisser et de le ramass

Malekal_morte- · Answer

Salut,

 

Sauvegarde tes documents importants.

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

-nikko- · Answer

Merci snconnect de ta réponse rapide.

je ne sais pas ce qu'est C:\WINDOWS\System32\gearsec.exe

msn n'est pas installé il me semble
mais ma connexion internet marche sans problème. Cette ordinateur est relier à un serveur.

-nikko- · Answer

merci de ta réponse Malekal_morte j'essayes et je post le rapport

Malekal_morte- · Answer

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

 


ET :



Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:/b Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

Malekal_morte- · Answer

c'est bon laisse tomber OTL. 

Je t'explique : 
.rsrc C:\WINDOWS\system32\DRIVERS	mtdi.sys entry point in ".rsrc" section [0xF62E6214]  

t'es infecté par TDSS/Alueron (cf : https://forum.malekal.com/viewtopic.php?t=22604&start= ). 
C'est une infection qui provoque des redirections sur les recherches Google, dans ton cas, ça fait planter le navigateur apparemment (peut-être que la cohabitation avec Trend-Micro se passe mal). 

Normalement Combofix désinfecte ça mais là ça semble pas être le cas. 
Faut voir aussi si y a une version non patché de tmdti.sys sur ton PC. 


Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau. 
Download Mirror:: http://jpshortstuff.247fixes.com/SystemLook.exe 
Download Mirror #2:: http://images.malwareremoval.com/jpshortstuff/SystemLook.exe 

* Double-click SystemLook.exe pour le lançer. 
* Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook: 

:filefind 
tmtdi.sys

* Click le bouton Look pour commencer le scan. 
* Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche 

Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt 
Them crooked vultures this evening :D

Malekal_morte- · Answer

ha p'tain mazette, j'avais pas tilté mais l'enfoirou il a patché le driver de Trend :\



* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

begin copying here:
Files to move:
C:\Program Files\Trend Micro\Client Server Security Agent	mtdi.sys|C:\WINDOWS\system32\drivers	mtdi.sys

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

Vois ce que ça donne.


Sinon l'autre soluce serait de désinstaller Trend-Micro et de le réinstaller.

Malekal_morte- · Answer

essaye google.

Malekal_morte- · Answer

:)

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Pour désinstaller Combofix :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Plantage Iexplorer quand ouverture d'un lien

9 réponses

Discussions similaires