Fichiers se créant dans C:\WINDOWS\Temp [Résolu/Fermé]

Signaler
-
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
-
Bonjour,
Voilà je vous explique mon problème.
J'utilise un netbook et tout aller très bien, il tournait vite et j'avais aucun soucis. Mais il y a quelques
jours mon anti-virus (Avira) m'a signalé un Cheval de Troie. D'ailleurs avant qu'il me le signalise mon ordinateur
c'était éteind tout seul. En le rallumant j'ai reçu l'alerte. Je l'ai supprimer à partir de l'anti-virus mais en vain il ne l'a pas
supprimer. J'ai remarquer un fichier sur le bureau que je n'avais pas avant "Malware Protection" si j'ai bonne mémoire (un raccourci). J'ai donc
rechercher la cible du fichier, je l'ai supprimer vider la corbeille et voilà. Sauf que mon antivirus m'alertais encore toute les 5-10 minutes pour des fichiers
se créant dans C:\WINDOWS\Temp si je me souviens bien. J'ai donc couper internet et je les ai supprimer manuellement tout comme
le fichier "Malware Protection". Depuis mon antivirus ne m'alerte plus mais des fichiers se créaient encore !!! [Des fichiers setup dans des dossiers genre "qjduen" ayant pour description ceci : Cud Burst Mousy Snipe

Entreprise : Stick Lame Exam Inch
Langue : Anglais (USA)
Nom du fichier d'origine: Troy.exe
Nom du produit : Slam Thyme Blame Hinge
Nom Interne : Bomb Hogan Macro Condo
V : 9.4

Ca sent le cheval de troie à plein nez....]


Voilà mon problème et je pense que ça à un lien avec ce que j'ai écrit si dessus.
Lorsque j'avais ce virus, mon ordinateur ralentissait énormement au bout d'un moment (genre 25 min après l'avoir allumé) , je ne pouvais plus rien faire il allait au ralentit.
Et maintenant j'ai toujours ce problème ! Mon ordinateur devient très lent au bout 30 min environs, je suis obligé de l'éteindre et de le rallumer pour qu'il soit nickel.

Est-ce lié ? Quel est mon problème ?

Eclairez-moi je n'ai jamais eu ce problème auparavant... !



42 réponses

Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
875
On va vérifier si tu as des rogues sur ton PC déjà, qui est bien infecté ==>

* Télécharger sur le bureau RogueKiller : https://www.commentcamarche.net/download/telecharger-34083203-roguekiller-anti-malware
* Quitter tous les programmes en cours.
* Sous Vista/Seven, clic droit => Éxécuter en tant qu'administrateur.
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, tapez 1 et valider.
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse sur le forum.
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe


Si tu as des questions, n'hésite pas à me les poser !

Merci,

Gabriel.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
875
Salut,

Bienvenue sur CCM. On va essayer de résoudre ton problème ensemble.

Ici, les helpers sont volontaires, et ont également une vie de famille, comme tout le monde. Soit donc patient en attendant tes réponses. Contact le helper au bout de 24h sans réponse par Message Privé si il ne s'est pas signalé.

Suis la procédure jusqu'au bout, sinon ça ne servira à rien.

Ne panique pas, n'hésite pas à poser des questions si tu as des doutes.

On va faire un diagnostic de ton PC pour plus de renseignements ==>

=> Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou :

http://www.premiumorange.com/zeb-help-process/zhpdiag.html

ou :

https://www.commentcamarche.net/download/telecharger-34066799-zhpdiag


=> Laisse toi guider lors de l'installation, coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag".

/!\Utilisateur de Vista et Seven/!\ : Clic droit sur le logo de ZHPdiag (parchemin) puis « Exécuter en tant qu'Administrateur »

=> Clique sur l'icône, en haut à gauche, représentant une loupe : « Lancer le diagnostic ».
=> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.
=> Héberge le rapport ZHPDiag.txt sur un des sites ci-dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

https://www.cjoint.com/

ou


http://www.cijoint.fr/

ou :

http://ww38.toofiles.com/fr/documents-upload.html

ou :


http://pjjoint.malekal.com/

ou :

https://www.casimages.com/



Si tu as besoin d'aide, ou quelque chose n'est pas clair, n'hésite pas à poser la question.

@+

Gabriel.
Merci de cette réponse plus que rapide, je fais ce que tu m'as dis et je te tiens au courant. Merci infiniment pour ton aide.
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
875
Ok pas de soucis ;)
Petit problème :

J'ai le fichier format .txt (donc le rapport) mais chaque fois que j'envoie le fichier pour l'hébergement, sur tous les liens que tu m'as envoyer je reçois "Erreur de chargement de la page

Le fichier est peut-être trop volumineux ?
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
875
Renomme le fichier pour voir...
Sinon on essaye autre chose ;)

@+

Gabriel.
Toujours la même chose malheureusement :(
Je l'ai renommé en diagnostique.txt et aucun des sites ne fonctionnent.
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
875
Alors fais ça ==>

? Télécharge TDSSKiller : https://www.sfr.fr/fermeture-des-pages-perso.html

? Lance-le (Utilisateurs de Vista/Seven => Clic droit puis "Exécuter en tant que administrateur")

L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

Patiente pendant le scan. À la fin de l'analyse, appuie sur une touche de ton choix. Un rapport va s'ouvrir.

? Copie/Colle son contenu dans ta prochaine réponse sur le forum.

N.B : Le rapport se trouve également sous C:\tdsskiller.txt.


Si tu as des questions sur l'utilisation de TDSSkiller, n'hésite pas à me les poser !

@+

Gabriel.
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
875
Ok. Donc redémarre le PC, et réessaye l'hébergement de ZHPdiag STP ;)

Merci,

Gabriel.
Nickel, le fichier a pu être hébergé :

http://cjoint.com/11ju/AGEnJww2zaI.htm

Je tiens à vous remercier encore pour votre aide !
RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Zukenkay [Droits d'admin]
Mode: Recherche -- Date : 30/07/2011 13:42:24

Processus malicieux: 6
[SUSP PATH] dltpxm.dll -- C:\WINDOWS\dltpxm.dll -> UNLOADED
[SUSP PATH] setup.exe -- c:\windows\temp\qeykmr\setup.exe -> KILLED
[SUSP PATH] PLFSetI.exe -- c:\windows\plfseti.exe -> KILLED
[SUSP PATH] SoftwareUpdateHP.exe -- c:\documents and settings\zukenkay\application data\eorezo\eorezo\softwareupdatehp.exe -> KILLED
[SUSP PATH] dltpxm.dll -- C:\WINDOWS\dltpxm.dll -> KILLED
[SERVICE] SSHNAS -- C:\WINDOWS\system32\svchost.exe -k netsvcs -> STOPPED

Entrees de registre: 15
[BLACKLIST DLL] HKCU\[...]\Run : Onotakobiloba (rundll32.exe "C:\WINDOWS\dltpxm.dll",Startup) -> FOUND
[SUSP PATH] HKLM\[...]\Run : PLFSetI (C:\WINDOWS\PLFSetI.exe) -> FOUND
[SUSP PATH] HKLM\[...]\Run : SoftwareHelper (C:\Documents and Settings\Zukenkay\Application Data\EoRezo\EoRezo\SoftwareUpdateHP.exe) -> FOUND
[SUSP PATH] HKUS\.DEFAULT[...]\Run : 8DDYX0ZBPZ (C:\WINDOWS\TEMP\Jvx.exe) -> FOUND
[BLACKLIST DLL] HKUS\S-1-5-21-2083259864-2626759393-3993469562-1006[...]\Run : Onotakobiloba (rundll32.exe "C:\WINDOWS\dltpxm.dll",Startup) -> FOUND
[SUSP PATH] HKUS\S-1-5-18[...]\Run : 8DDYX0ZBPZ (C:\WINDOWS\TEMP\Jvx.exe) -> FOUND
[BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> FOUND
[BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> FOUND
[BLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> FOUND
[SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\windows\temp\jvy.exe -> FOUND
[SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\temp\jvw.exe -> FOUND
[SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\windows\temp\jvx.exe -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichier HOSTS:


Termine : << RKreport[1].txt >>
RKreport[1].txt



Voilà :)
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
875
Ok, lance le en mode 2 (suppression) puis poste le rapport.

Merci,

Gabriel.
Voilà :

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Zukenkay [Droits d'admin]
Mode: Suppression -- Date : 30/07/2011 13:46:36

Processus malicieux: 1
[SERVICE] SSHNAS -- C:\WINDOWS\system32\svchost.exe -k netsvcs -> NOT STOPPED [0x425]

Entrees de registre: 13
[BLACKLIST DLL] HKCU\[...]\Run : Onotakobiloba (rundll32.exe "C:\WINDOWS\dltpxm.dll",Startup) -> DELETED
[SUSP PATH] HKLM\[...]\Run : PLFSetI (C:\WINDOWS\PLFSetI.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Run : SoftwareHelper (C:\Documents and Settings\Zukenkay\Application Data\EoRezo\EoRezo\SoftwareUpdateHP.exe) -> DELETED
[SUSP PATH] HKUS\.DEFAULT[...]\Run : 8DDYX0ZBPZ (C:\WINDOWS\TEMP\Jvx.exe) -> DELETED
[BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> DELETED
[BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> DELETED
[BLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> DELETED
[SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\windows\temp\jvy.exe -> DELETED
[SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\temp\jvw.exe -> DELETED
[SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\windows\temp\jvx.exe -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

Fichier HOSTS:


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt



Je l'ai refait une fois car mon ordinateur avait planté :

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Zukenkay [Droits d'admin]
Mode: Suppression -- Date : 30/07/2011 13:50:27

Processus malicieux: 1
[SUSP PATH] setup.exe -- c:\windows\temp\qeykmr\setup.exe -> KILLED

Entrees de registre: 0

Fichier HOSTS:


Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
875
Très bien.
Tu as également beaucoup d'adwares, fais ceci ==>

? Télécharge AD-Remover sur ton Bureau (Merci à C_XX) :

http://www.teamxscript.org/too/AD-R.exe

OU
http://security-domain.be/download/AD-Remover.html


/!\ Ferme toutes applications en cours avant de continuer /!\

? Double-clique sur l'icône Ad-remover située sur ton Bureau.
? Sur la page, clique sur le bouton « Scanner ».
? Confirme le lancement du scan.
? Laisse travailler l'outil.
? Accepte de redémarrer le PC à la fin, si il est demandé..
? Poste le rapport qui apparaît à la fin, dans le forum.

(Le rapport est sauvegardé aussi sous C:\Ad-Report-SCAN[1].txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Merci,

Gabriel.
Je te l'héberge, je ne peux pas l'envoyer sur le forum, il y a un message d'erreur à cause de l'orthographe ^^".
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
875
Ok. Si tu t'inscris, il n'y aura plus ce problème à priori ;)

@+

Gabriel.
Je m'inscrirais plus tard là, donc ce soir, je suis déjà en retard à mon rendez-vous mais bon j'en ai un peu marre de ce problème alors autant tout résoudre ^^" Merci encore de m'aider à nettoyer mon PC des vilaines petites saletés :S
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
875
Voilà :)

http://cjoint.com/11ju/AGEoeuiX9P2.htm
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
875
Ok ;)

/!\ Ferme toutes applications en cours avant de continuer /!\

- Double- clique sur l'icône Ad- remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Nettoyer ».
- Confirme le lancement du nettoyage.
- Laisse travailler l'outil.
- Accepte de redémarrer le PC à la fin, si il est demandé. Cela est nécessaire pour finaliser le nettoyage.
- Poste le rapport qui apparaît à la fin, dans le forum.

(Le rapport est sauvegardé aussi sous C:\Ad- Report- CLEAN[1].txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Merci,

Gabriel.
Voici le résultat du Nettoyage :) :

http://cjoint.com/11ju/AGEom7wnKSv.htm
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
875
Non ça c'est le scan x)

@+

Gabriel.
http://cjoint.com/11ju/AGEor4Anx9t.htm

>< ! Le lien pour le CLEAN est ci-dessus ^^"