FileDescription: jioeargmoeiu ????

[Fermé]
Signaler
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011
-
 Utilisateur anonyme -
Bonjour,


J'ai mon PC (win xp) avec une CPU à 100% très rapidement.... malgré tous les antivirus essayés (kaspersky, superantispyware, antivir) rien n'y fait....
Une p... de processus se lance et me bouffe tout le proc.... Process xp m'indique qu'une fichier dont la description est "jioeargmoeiu" se lance (malgré aucune utilisation) et se développe jusqu'à etouffer le processeur qui se retrouve avec près de 200 processus à gérer....
Une idée????
Merci

10 réponses


Bonjour
* Télécharge ZHPDiag (de Nicolas Coolman)
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

Bonjour et merci... je suis entrain de faire ce que tu me demandes....ça arrive
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

c'est ce que tu voulais?

Aie, c'est pas mal infecté mazette

Il y a un dropper qui installe des cochonneries apparemment

Télécharge TDSSKiller sur ton bureau
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
Crée un nouveau dossier sur ton bureau puis décompresse l'archive dedans
Lance le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.
Coche les, et clique sur Dele

Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

après redemarrage et scan, TDSS ne retrouve pas le rootkit mais a un "suspicious object" (kernel driver) .... qu'en penses tu?
Utilisateur anonyme
poste le rapport
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

[url=https://www.luanagames.com/index.fr.html]ZHPDiagsuite.txt[/url]
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

[url=https://www.luanagames.com/index.fr.html]TDSSKiller.2.4.21.0_30.04.2011_17.10.15_log.txt[/url]
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

Je t'ai mis les 2 rapports ds le doute

Bien, TDSS Killer détecte un pilote d'un logiciel émulateur

On va s'occuper des autres infections, car y'en a pas mal, surtout la base
de registre qui est pas mal infectée

Télécharge Ad-Remover (de C_XX) sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html
ou
https://www.androidworld.fr/
Désactive l'anti-virus

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur Scanner.
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans C:\Ad-Remover-SCAN[1].txt

Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

EN COURS
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

[url=https://www.luanagames.com/index.fr.html]Ad-Report-SCAN[1].txt[/url voilà

Double clique sur AD Remover, et clique sur Nettoyer.
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans C:\Ad-Remover-CLEAN[1].txt

Il faut faire attention lorsque tu installes un logiciel gratuit, ils te proposent
des compléments, telles que les barres d'outils qui sont inutiles ou néfastes
Prends le temps de lire les instructions et pas se précipiter, car tu te fais piéger

Poste moi un nouveau rapport ZHPDiag
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

tu es informaticien???????????
Utilisateur anonyme
Non, pas du tout, c'est parce que j'ai fait une formation pour désinfecter les PC
Je vais revenir plus tard ce soir, car je vais manger
Je regarderai le résultat tout à l'heure
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

je suis de sortie ce soir...je posterai si c'est fini. merci de ton aide....a plus
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

[url=https://www.luanagames.com/index.fr.html]logcombofix.txt[/url]

Ce que je sens très bien, c'est qu'il annonce la suppression d'un fichier jhl72i75.exe (celui qui etait associé à jioeargmoeiu!!!!!) et qui squattait mon processeur!!!!!! Je vais refaire un ZHP pour que tu voies...si ça a marché...
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

[url=https://www.luanagames.com/index.fr.html]ZHPDiagsuite3.txt[/url]
pffffff

aie aie

ComboFix 11-04-29.04 - Begon 30/04/2011 18:29:51.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1525 [GMT 2:00]
Lancé depuis: c:\documents and settings\Begon\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\jhl72i75.exe
c:\documents and settings\Begon\WINDOWS
C:\Thumbs.db
c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATICAE.exe
c:\windows\Tasks\At1.job
.
c:\windows\regedit.exe . . . est infecté!!
Pas réjouissant, et il y a plein de fichiers non signés

Ton Windows XP ne semble pas officiel
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

ah ben zut...il est tout ce qu'il y a d'officiel...une version OEM. Je te le garantis!!!!!!!!!!!!!!!!!!!!!!!!!!! par contre il a l'air d'aller mieux...pour le moment...qu'est-ce qui t'inquiète??????????????

Bonjour
Analyse sur Virus Total ce fichier
c:\windows\regedit.exe

https://www.virustotal.com/gui/
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

virustotal plante et ne veut pas voir le fichier
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

je te refais tt de meme un zhp pour que tu voies si les virus enleves ce matin ont fait du bien ou pas....
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

[url=https://www.luanagames.com/index.fr.html]ZHPDiagsuite4.txt[/url]
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

encore là?
Utilisateur anonyme
Fait ce qui est demandé en dessous et poste la réponse après la mienne

On va vérifier s'il y a vraiment un rootkit MBR

Télécharge aswMBR (de Alwil Software) sur ton bureau
http://public.avast.com/~gmerek/aswMBR.exe
Double-clique sur aswMBR.exe pour le lancer (avec Vista/Seven, clic droit
sur l'outil, et sur exécuter en tant qu'administrateur)
Clique sur le bouton Scan
Clique sur le bouton Fix si une infection a été trouvée
Clique sur le bouton Save Log, et enregistre le rapport sur le bureau
Copie/colle le contenu du rapport dans ta prochaine réponse
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

comment reconnaitre l'infection? j'ai 2 lignes qui apparaissent rouges (c'est ça?) et si j'appuye sur fix mbr, il me previent que ç a peut avoir des consequences....je fais tout de meme?
Utilisateur anonyme
Clique sur le bouton fix
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

voici le log avant le 'fix'

[url=https://www.luanagames.com/index.fr.html]MBR.dat[/url]
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

Oups, en txt...

[url=https://www.luanagames.com/index.fr.html]aswMBR.txt[/url]
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

les 2 lignes en rouge sont la première avec 16 39 16 671 et la première avec 16 39 16 687

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Classes\axmetastream.metastreamctl] =>Adware.MetaStream
[HKLM\Software\Classes\axmetastream.metastreamctl.1] =>Adware.MetaStream
[HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary] =>Adware.MetaStream
[HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1] =>Adware.MetaStream
[HKCR\Interface\{3EDDA953-1C3B-4823-8F25-D075FBB2D2B5}] =>PUP.Dealio
[HKLM\Software\Classes\Interface\{3EDDA953-1C3B-4823-8F25-D075FBB2D2B5}] =>PUP.Dealio
[HKCR\TypeLib\{4C1E5902-FE99-4591-8582-2A2605462857}] =>PUP.Dealio
[HKLM\Software\Classes\TypeLib\{4C1E5902-FE99-4591-8582-2A2605462857}] =>PUP.Dealio
[HKCR\CLSID\{5C00A371-2011-4AF3-97C8-6CE66AA744CB}] =>PUP.Dealio
[HKLM\Software\Classes\CLSID\{5C00A371-2011-4AF3-97C8-6CE66AA744CB}] =>PUP.Dealio
[HKCR\CLSID\{9F038672-0425-4792-BC9C-36DE3308E8AA}] =>PUP.Dealio
[HKLM\Software\Classes\CLSID\{9F038672-0425-4792-BC9C-36DE3308E8AA}] =>PUP.Dealio
[HKCR\Interface\{B67A4CBA-520A-43DB-B03F-414E539F90EC}] =>PUP.Dealio
[HKLM\Software\Classes\Interface\{B67A4CBA-520A-43DB-B03F-414E539F90EC}] =>PUP.Dealio
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}] =>PUP.Dealio
[HKCR\CLSID\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}] =>PUP.Dealio
[HKLM\Software\Classes\CLSID\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}] =>PUP.Dealio
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{e908b145-c847-4e85-b315-07e2e70decf8}] =>PUP.Dealio
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{e908b145-c847-4e85-b315-07e2e70decf8}] =>PUP.Dealio
[HKLM\Software\MetaStream] =>Adware.MetaStream
[HKLM\Software\Viewpoint] =>Adware.MetaStream
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer] =>Adware.MetaStream
C:\Program Files\Viewpoint =>Adware.MetaStream


* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur
)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Redémarre ton PC

Ensuite, poste moi un nouveau rapport ZHPDiag
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

ok je vais le faire
Tu me feras ceci après
Ouvre le bloc notes, et copie ce qui est en gras

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\Software\Classes\axmetastream.metastreamctl]
[-HKEY_LOCAL_MACHINE\Software\Classes\axmetastream.metastreamctl.1]
[-HKEY_LOCAL_MACHINE\Software\Classes\AxMetaStream.MetaStreamCtlSecondary]
[-HKEY_LOCAL_MACHINE\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1]
[-HKEY_CLASSES_ROOT\Interface\{3EDDA953-1C3B-4823-8F25-D075FBB2D2B5}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{3EDDA953-1C3B-4823-8F25-D075FBB2D2B5}]
[-HKEY_CLASSES_ROOT\TypeLib\{4C1E5902-FE99-4591-8582-2A2605462857}]
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{4C1E5902-FE99-4591-8582-2A2605462857}]
[-HKEY_CLASSES_ROOT\CLSID\{5C00A371-2011-4AF3-97C8-6CE66AA744CB}]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{5C00A371-2011-4AF3-97C8-6CE66AA744CB}]
[-HKEY_CLASSES_ROOT\CLSID\{9F038672-0425-4792-BC9C-36DE3308E8AA}]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{9F038672-0425-4792-BC9C-36DE3308E8AA}]
[-HKEY_CLASSES_ROOT\Interface\{B67A4CBA-520A-43DB-B03F-414E539F90EC}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{B67A4CBA-520A-43DB-B03F-414E539F90EC}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}]
[-HKEY_CLASSES_ROOT\CLSID\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{e908b145-c847-4e85-b315-07e2e70decf8}]
[-HKEY_LOCAL_MACHINE\Software\MetaStream]



Nomme le fichier stef.reg, et enregistre le sur le bureau
Lance le, et accepte de la fusion avec le registre
Redémarre ton PC
Ensuite, tu me postera un nouveau rapport ZHPDiag
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

c'est en cours
Messages postés
51
Date d'inscription
samedi 30 avril 2011
Statut
Membre
Dernière intervention
1 mai 2011

Utilisateur anonyme
Supprime si tu peux manuellement le dossier Viewpoint

C:\Program Files\Viewpoint