UC à 100%

bichtat -  
 Utilisateur anonyme -
Bonjour,

Mon UC est à 100% dès le démarage et tout rame un max.

Dans l'onglet processus, de multiple firefox s'ouvre, sans que je voie de fenêtre à l'écran.

Voilà le rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:10, on 08/09/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Avira\AntiVir Desktop\sched.exe
D:\Program Files\Avira\AntiVir Desktop\avguard.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Program Files\Avira\AntiVir Desktop\avshadow.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\Avira\AntiVir Desktop\avgnt.exe
D:\Program Files\COMODO\COMODO Internet Security\cfp.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\taskmgr.exe
C:\télechargement\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HKLM] D:\WINDOWS\InstallDir\Win32.exe
O4 - HKLM\..\Run: [Adobe ARM] "D:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "D:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [HKCU] D:\WINDOWS\InstallDir\Win32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Global Startup: 54M Wireless USB Adapter.lnk = ?
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - AppInit_DLLs: D:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - D:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - D:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - D:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4895 bytes

Merci d'avance.

11 réponses

  1. Utilisateur anonyme
     
    désinstalle spybot, il est inutile !

    tu as une version nonofficielle de windows , d'ou tes problèmes !

    tu as un dropper actif sur ton pc au demarrage de registre avec une clé qui le lance !!!

    trouve ces fichiers sur ton disque dure :

    D:\WINDOWS\system32\WinSys.exe
    D:\WINDOWS\InstallDir\Win32.exe



    héberge les un par un sur ce site, colle leur liens sur ton prochain message :

    http://ww38.toofiles.com/fr/documents-upload.html

    puis, lance ceci :

    * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)

    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie et colle les lignes suivantes en gras dans Zhpfix :

    ----------------------------------------------------------

    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
    O4 - HKLM\..\Run: [HKLM] . (...) -- D:\WINDOWS\InstallDir\Win32.exe
    O4 - HKCU\..\Run: [HKCU] . (...) -- D:\WINDOWS\InstallDir\Win32.exe
    O4 - HKUS\S-1-5-21-1214440339-1972579041-725345543-1003\..\Run: [HKCU] . (...) -- D:\WINDOWS\InstallDir\Win32.exe
    O44 - LFC:[MD5.7A0400E2667E6FAC426A89AB271A0446] - 01/09/2011 - 19:05:13 R--A- . (.Pas de propriétaire - DOT MFC Application.) -- D:\WINDOWS\system32\WinSys.exe [135168]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:HKCU

    Emptytemp


    ----------------------------------------------------------

    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    Tuto :

    http://www.premiumorange.com/zeb-help-process/zhpfix.html

    Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    ou ici :
    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Une fois la mise à jour terminé
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . Tu cliques droit dans le cadre de la réponse et coller
    . À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø

    O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
    1
  2. bichtat
     
    Personne pour me donner un coup de main ?

    Merci d'avance.
    0
  3. Utilisateur anonyme
     
    bonsoir,
    est ce un pc portable ou fixe ?

    * Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    ou
    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
    http://www.cijoint.fr/
    ou :
    http://dl.free.fr
    ou :
    http://ww38.toofiles.com/fr/documents-upload.html
    ou :
    https://www.terafiles.net/

    tuto zhpdiag :

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    0
  4. bichtat
     
    http://www.cijoint.fr/cjlink.php?file=cj201109/cijnKOW19o.txt

    Et merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. bichtat
     
    OK, je suis au boulot,
    Dès mon retour à la maison ( au alentour de 16h00 ), je fais les manips
    que tu m'as demandé.

    Merci encore de m'aider
    0
  7. bichtat
     
    http://www.toofiles.com/fr/oip/documents/exe/winsys.html
    D:\WINDOWS\InstallDir\Win32.exe Pour ce fichier, le répertoire InstallDir n'existe pas dans D:\windows.
    0
  8. bichtat
     
    Rapport de ZHPFix 1.12.3360 par Nicolas Coolman, Update du 29/08/2011
    Fichier d'export Registre : D:\ZHP\ZHPExportRegistry-09-09-2011-16-10-16.txt
    Run by Fabio at 09/09/2011 16:09:44
    Windows XP Professional Service Pack 2 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Processus mémoire ==========
    SUPPRIME Reboot Memory Process: D:\WINDOWS\InstallDir\Win32.exe

    ========== Valeur(s) du Registre ==========
    SUPPRIME RunValue: HKLM
    SUPPRIME RunValue: HKCU
    ABSENT RunValue: HKCU
    ABSENT [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:HKCU

    ========== Elément(s) de donnée du Registre ==========
    REMPLACE Value AntiVirusOverride : Good (0) - Bad (1)
    REMPLACE Value AntiVirusDisableNotify : Good (0) - Bad (1)
    REMPLACE Value FirewallDisableNotify : Good (0) - Bad (1)
    REMPLACE Value FirewallOverride : Good (0) - Bad (1)
    REMPLACE Value UpdatesDisableNotify : Good (0) - Bad (1)

    ========== Dossier(s) ==========
    SUPPRIME Temporaires Windows: : 79

    ========== Fichier(s) ==========
    SUPPRIME Reboot d:\windows\installdir\win32.exe
    SUPPRIME Reboot d:\windows\system32\winsys.exe
    SUPPRIME Temporaires Windows: : 287

    ========== Récapitulatif ==========
    1 : Processus mémoire
    4 : Valeur(s) du Registre
    5 : Elément(s) de donnée du Registre
    1 : Dossier(s)
    3 : Fichier(s)

    End of the scan in 00mn 10s

    ========== Chemin de fichier rapport ==========
    D:\ZHP\ZHPFix[R1].txt - 09/09/2011 16:09:44 [1396]
    0
  9. bichtat
     
    Malwarebytes' Anti-Malware 1.51.1.1800
    www.malwarebytes.org

    Version de la base de données: 7683

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    09/09/2011 16:46:50
    mbam-log-2011-09-09 (16-46-50).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 162091
    Temps écoulé: 28 minute(s), 46 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 3
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{JG2Y42KU-55R5-CNT7-JTJW-L6PQ81IBEF7T} (Trojan.VirTool.Gen) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{JG2Y42KU-55R5-CNT7-JTJW-L6PQ81IBEF7T} (Trojan.VirTool.Gen) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\XTREMERAT (Malware.Trace) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM (Trojan.VirTool.Gen) -> Value: HKLM -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Trojan.VirTool.Gen) -> Value: HKCU -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\XtremeRAT\Mutex (Malware.Trace) -> Value: Mutex -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    d:\WINDOWS\installdir\Win32.exe (Trojan.VirTool.Gen) -> Quarantined and deleted successfully.
    c:\extracted\crackinclue.exe (Trojan.VirTool.Gen) -> Quarantined and deleted successfully.
    d:\ZHP\quarantine\win32.exe.vir (Trojan.VirTool.Gen) -> Quarantined and deleted successfully.
    0
  10. bichtat
     
    Tout à l'air de fonctionner maintenant, j'attends quand même tes consignes.

    Merci.
    0
  11. Utilisateur anonyme
     
    bonjour,
    ce fichier existe bel est bien :

    zhpfix :

    SUPPRIME Reboot Memory Process: D:\WINDOWS\InstallDir\Win32.exe
    puis MBAM :

    d:\WINDOWS\installdir\Win32.exe (Trojan.VirTool.Gen) -> Quarantined and deleted successfully.
    c:\extracted\crackinclue.exe (Trojan.VirTool.Gen) -> Quarantined and deleted successfully.
    d:\ZHP\quarantine\win32.exe.vir (Trojan.VirTool.Gen) -> Quarantined and deleted successfully


    redemarre ton pc,

    relance MBAM, vide sa quarantaine, refais une mise à jour et repasse un nouveau passage, s'il trouve des choses, mets tout en quarantaine, poste son rapport!

    0