PC rame car surchauffe, infecté/désinfectéRésolu/Fermé

Question

Bonjour, 

L'ordinateur à été réparé d'une infection par des trojans, mais ça ne va pas forcement beaucoup mieux.

Donc je ne comprends plus pourquoi il surchauffe aussi vite alors, qu'avant ce nettoyage de trojans tout allé bien (niveau chauffe, il montait à 41/42° en moyenne, .

Je n'en peut plus de cet ordinateur....... qui était stable à la mi-septembre, et qui maintenant replante, suite à une infection trojans suivi d'une désinfection.
Voilà ce qui a été fait :

https://forums.commentcamarche.net/forum/affich-19399829-trojan-tr-ovuhamp-au-demarage#p19422998

Que faire svp?

Merci d'avance

Configuration: Windows 7 / Opera 9.80

Utilisateur anonyme · Answer

Bonjour

Pour avancer moment de grace
qui je pense reprendra la suite;


Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

patmoss · Answer

http://www.cijoint.fr/cjlink.php?file=cj201010/cijD1eQPbr.txt

moment de grace · Answer

hello

merci guillaume et merci à toi...

patmoss

qu'est ce qui se passe, il y a peu tu disais que tout allait bien

.............


Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


-- C:\Program Files\AlertInfo\alertinfo.exe


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

patmoss · Answer

merci...  

Oui tout allé bien jusqu'à ce que la température monte, et les applications plantent........  

Voilà, 2 liens mêmes, car doute ;  

http://www.virustotal.com/file-scan/reanalysis.html?id=7ede8c2812d7c87b432c1e920580a3f0faf8fb56cdeee452c91c717730b31d18-1286733947  

http://www.virustotal.com/file-scan/report.html?id=7ede8c2812d7c87b432c1e920580a3f0faf8fb56cdeee452c91c717730b31d18-1286733947  

RIen de détecté, donc le problème ne vient pas de la.

A+

moment de grace · Answer

il chauffe à quelle température et sur quelles apllications ?

.................

Télécharge OTL de OLDTimer 

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/


enregistre le sur ton Bureau. 

 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer. 

Coche les 2 cases Lop et Purity 

Coche la case devant tous les utilisateurs 

ègle age du fichier sur "60 jours" 

dans la moitié gauche , mets tout sur "tous" 

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 
Clic sur Analyse. 

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). 

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt) 

NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

Clique sur Parcourir et cherche le fichier ci-dessus. 

Clique sur Ouvrir. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse. 

Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

patmoss · Answer

Je ne sais pas sur quelles applications il chauffe.  
il doit atteindre presque 50°. 

................. 


ok

Scan...

Résultat en attente.

patmoss · Answer

re ;  

Extras.txt issue du premier scan (standard) : 
 
http://www.cijoint.fr/cjlink.php?file=cj201010/cijc7osyZs.txt  

     Je n'arrive pas accéder : C:\Documents and setting\le_nom_de_ta_session\OTL.txt  

car "Documents and settings" est vérouillée et caché, accés interdit.  

A+ !

moment de grace · Answer

c'était quoi ces fausses alertes d'antivir ?

..............

* Lance OTL 
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous : 
netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
CREATERESTOREPOINT * 

Clique sur le bouton Quick Scan. 
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

patmoss · Answer

Il n'y a rien, donc, ça ne doit être rien, mais l'alerte à retenti 3 fois...        

...................        

Sinon, ça commence à me...        

J'ai redémarrer OLT n'était plus sur le bureau, donc je l'ai retélécharger, mais rien, il ne veux plus le lancer...        

Donc, merci pour ton aide, mais là je ne sais plus que faire?        

edit ; Ok, c'est bon, par contre il n'y a pas "QuickScan" mais "Analyse rapide" je lance le scan...       

OTL :     
http://www.cijoint.fr/cjlink.php?file=cj201010/cij5WLckYF.txt     

Par contre pas d'"Extras.Txt" si ce n'est celui posté ICI : https://forums.commentcamarche.net/forum/affich-19441929-pc-rame-car-surchauffe-infecte-desinfecte#16     

A+

moment de grace · Answer

ce FullShot 9 tu en as besoin ?

........

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
C:\Windows\95431C66CF9A4913BFFF6050785AFB65.TMP


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

patmoss · Answer

"ce FullShot 9 tu en as besoin ?"  

Oui pour faire des captures d'écrans à moins que tu es un logiciel gratuit aussi voire plus efficace à proposer. Pourquoi? Est-il infecté?

---------------  

"C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP    
C:\Windows\95431C66CF9A4913BFFF6050785AFB65.TMP"*   

*Il s'agit de dossier renfermant essentiellement des extensions de type "dll" et l'envoie est impossible sur VirusTotal.   

Que faire?

moment de grace · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus.

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

patmoss · Answer

re,   

Mais j'ai déjà fait ça : "List_Kill'em".   

Quid de FullShot, menace ou pas?   

Et des fichiers à analyser (4FC9DA9DF608454E8191D7EFFDCC5726.TMP et 95431C66CF9A4913BFFF6050785AFB65.TMP)?   

Faut-il que je les supprimes?   

Et qu'on donnés ces rapports (https://forums.commentcamarche.net/forum/affich-19441929-pc-rame-car-surchauffe-infecte-desinfecte#18) ? 

Merci déjà pour ton aide et merci d'avance pour tes futures réponses

moment de grace · Answer

je sais, mais il reste des choses semble t il c'est pourquoi on le refait

patmoss · Answer

En fait, jai commencé un scan eset NOD32 en ligne (https://www.eset.com/int/home/online-scanner/ et il a repérer 4 infections...... du coup, j'attends la fin du scan, ensuite nous passerons à Kill'em -à moins que je puisse combiner les 2?-(illustration de mes propos en pièces jointes dessous capture d'écran faite avec "FullShot" dont tu voulai que je me débarasses...).    

lien direct à l'image : 
http://www.cijoint.fr/cj201010/cijOTYvNXc.jpg  

http://www.cijoint.fr/cjlink.php?file=cj201010/cijOTYvNXc.jpg    

C mieux non?    

A+

moment de grace · Answer

* Téléchargez FindyKill sur le Bureau. 

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe 

Mirroir : 

http://findykill.changelog.fr/Setup.exe 

* Double-cliquez sur FindyKill présent sur le Bureau. 

* Choisissez l'option 1 (Recherche). 

* Laissez travailler l'outil. 

* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider). 

* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt). 

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

* Tuto : http://pagesperso-orange.fr/NosTools/index.html

patmoss · Answer

Du coup, je supprime (répare) quand même ce qu'a trouvé Eset NOD32?   

à savoir : 
"Win32/Uribot.NAG trojan" et les worms Bagle 

Merci je vais le faire

edit; ce "http://findykill.changelog.fr/Setup.exe" à le logo d'emule sur le bureau normal?

patmoss · Answer

############################## | FindyKill V5.051 | 

# User : Anthony (Administrators) # ANTHONY-PC 
# Update on 07/10/2010 by El Desaparecido 
# Start at: 20:31:47 | 11/10/2010 
# Website : http://www.teamxscript.org/ 
# Contact : ElDesaparecido.Contact@gmail.com 

# Genuine Intel(R) CPU           T2060  @ 1.60GHz 
# Microsoft Windows 7 Ultimate  (6.1.7600 32-bit) #  
# Internet Explorer 8.0.7600.16385 
# Windows Firewall Status : Disabled 

# C:\ # Local Fixed Disk # 200,43 Go (122,96 Go free) # NTFS 
# D:\ # Local Fixed Disk # 97,65 Go (67,73 Go free) # NTFS 
# E:\ # CD-ROM Disc # 3,65 Go (0 Mo free) [La Bible (Volume] # CDFS 

################## | Eléments infectieux | 


################## | Registre | 

[HKCU\Software\Classes\ed2k]   
[HKCR\ed2k]   

################## | Etat | 

# Affichage des fichiers cachés : OK 
  
# Mode sans echec : OK 

# (!) Uac = 0x0  
  
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )  
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )  
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )  
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )  
# (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )   
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )  
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )  

################## | ! Fin du rapport # FindyKill V5.051 ! |

2 supprimer maintenant je suppose?

patmoss · Answer

Normal qu'il es redémarré et fini le scan (assez long)? 

Et ensuite, bizzare, peu d'applications se sont ouvertes (Son, TeamViewer, et AntiVir mais parapluie fermé). 
En outre, le PC n'a plus reconnu m'a souris, le réseau Internet n'était plus détécté, j'ai donc redémarré en mode sans echec, et là, c ok. 

Que faire? je suis inquiet    ; / 

Merci d'avance

patmoss · Answer

De plus, j'avais réglé OpenDNS pour que je ne puisse pas accéder à des sites sensibles, et ces zones n'apparaissent plus. 

Comment les récupérer? 

Quand je veux faire un copier je ne peut pas parceque la fenêtre de choix apparait qu'en ombres, et impossible de faire un choix.

C'est quoi ça :

- O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - REDC - (no file) ?

Merci d'avance

moment de grace · Answer

poste moi le rapport suppression de findykill

patmoss · Answer

Ou est-il?

FyK?


############################## | FindyKill V5.051 |

# User : Anthony (Administrators) # ANTHONY-PC
# Update on 07/10/2010 by El Desaparecido
# Start at: 21:19:20 | 11/10/2010
# Website : http://www.teamxscript.org/
# Contact : ElDesaparecido.Contact@gmail.com

# Genuine Intel(R) CPU           T2060  @ 1.60GHz
# Microsoft Windows 7 Ultimate  (6.1.7600 32-bit) # 
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Disabled

# C:\ # Local Fixed Disk # 200,43 Go (122,98 Go free) # NTFS
# D:\ # Local Fixed Disk # 97,65 Go (67,73 Go free) # NTFS
# E:\ # CD-ROM Disc # 3,65 Go (0 Mo free) [La Bible (Volume] # CDFS

################## | Eléments infectieux |


################## | CRC32 ... |

patmoss · Answer

http://www.cijoint.fr/cjlink.php?file=cj201010/cijEdFv0JS.txt

moment de grace · Answer

le rapport est bizarre 

peux tu refaire l'option suppression de findykill stp

patmoss · Answer

C la meilleure ça. J'ai supprimé l'ancien disque d'XP et es réinstallé XP dessus, problème, ça ne démarre plus sur Seven...

Que faire.

Car le boot.ini est conservé, mais quand je choisi 7, ça réfléchi longtemps...

Merci

moment de grace · Answer

evidemment que je suis infecté

un comportement anormal du pc n'équivaut pas systématiquement une infection

et d'où je me trouve , les rapports m'indiquent plus un gros bazar dans ton pc qu'autre chose

c'est pourquoi la solution de tout réinstallé au propre me parait une sage idée

gen-hackman · Answer

salut l'open DNS est uniquement fait pour permettre aux ordinateurs de pouvoir telecharger avec "toute la bande passante"

donc d'être illégal.......

patmoss · Answer

Salut,
 
moment de grace

"un gros bazar dans ton pc qu'autre chose "

Càd? Fullshot et alertinfo sont des logiciels pratiques...

Enfin, sois plus explicite ; en attente 

........


gen-hackman,

En quoi est-ce "illégal" ce site https://www.opendns.com/ ?

Je ne vois pas ce qu'il y a comme illégal que d'enregistrer son IP ici, afin que nos enfants ne puissent pas aller sur des sites à caractères pornographiques ou encore sur des sites frauduleux d'argent...

Au ciontraire j'y vois là, une mesure on ne peut plus préventive.

Merci,

A+

patmoss · Answer

Les 2 OS réinstallés, toujours des problèmes pour accéder à Internet?

RemoveIt se lance, mais n'arrive pas à nettoyer ceci...

"system32\scutum.dll"

Il dit de le faire manuellement.

Enfin, ça me désespère ça.

Merci encore

gen-hackman · Answer

tu devrais desinstaller RemoveIt pro il a tres mauvaise reputation

patmoss · Answer

Pourtant sur Softpedia il est bien noté...

Mais bon, je vais te faire confiance...

Merci

PC rame car surchauffe, infecté/désinfecté

31 réponses

Newsletters