Problème avec ping.exe : 100% d'UC utilisé Fermé

Question

Bonjour, 

Depuis qulques temps ce processus: "ping.exe" se lance automatiquement. Même aprrès avoir arrêté le processus, il se relance tout seul. J'ai cherché pour une désinstallation mais je n'ai rien trouvé. Pouvez-vous m'aiguiller?

Merci d'avance,

LeMiniMoine

Configuration: Windows XP / Safari 535.2

g3n-h@ckm@n · Answer

salut

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

si le lien ne fonctionne pas :

http://www.archive-host.com

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

LeMiniMoine · Answer

Merci pour la réponse rapide.

Voici le lien du rapport:

https://pjjoint.malekal.com/files.php?id=20111213_f15e5j14k8d5

LeMiniMoine

g3n-h@ckm@n · Answer

hello

desinstalle adobe reader 8

=============

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\ututapq.dll      

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

===========

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{F26A9FCE-4F3A-AD7E-3B39-C3FB17BEE0E9}"=-
"ylxkrwhfv3"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"DAEMON Tools-1033"=-
"ylxkrwhfv3"=-
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AMService"=-
"8DDYX0ZBPZ"=-      
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]  
"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]  
""=-      
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\$XNTUninstall643$]      
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Titan Poker] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A81000000003}]   
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A81300000003}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A82000000003}]    
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A83000000003}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBBD7935-2B45-F0C1-A149-DF30109BA0DF}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}]
[-HKCU\Software\4ECYTQ9SIC]
[-HKCU\Software\HLTCDMS83A]
[-HKCU\Software\J40NOZ44HU]      
[-HKCU\Software\Titan Poker]
[-HKLM\Software\471]      
[-HKLM\Software\Rtyabmbv]      
[-HKLM\Software\Titan Poker]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\Temp\pdkm\setup.exe"=-
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]  
"1900:UDP"=-
"2869:TCP"=-
"15497:UDP"=-
"24446:TCP"=-

file::
C:\Documents and Settings\Stan De Leener\ylxkrwhfv3.exe     
C:\WINDOWS\TEMP\Yrd.exe
c:\windows\system32	xywakwn.dll      
C:\Documents and Settings\All Users\Application Data\TkmE8G.dat      

folder::
C:\Documents and Settings\Stan De Leener\Application Data\Sauh   
C:\WINDOWS\TEMP\gwerfd
C:\Documents and Settings\Stan De Leener\Application Data\Adobe\plugs    
C:\WINDOWS\$XNTUninstall643$    
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Titan Poker    
C:\Documents and Settings\Stan De Leener\Application Data\Atybpu      
C:\Documents and Settings\Stan De Leener\Application Data\DFCBDA2512964555435F35EA42C32157    
C:\Documents and Settings\All Users\Application Data\gA00000McNoM00000      
C:\Documents and Settings\All Users\Application Data\lL00000GhMkE00000      
C:\WINDOWS\Temp\pdkm

attrib::                      

clean::      

Reboot::        
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

=========================================

telecharge ici : Load_SalityKiller

Desactive tes protections

lance-le , clique sur lancer le nettoyage 

à la fin SalityKiller.txt se mettra sur ton bureau

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clic droit dessus , envoyer vers , dossiers compressés

ensuite :

poste l'archive créée sur http://pjjoint.malekal.com et donne le lien obtenu

LeMiniMoine · Answer

Hello,

Bon voilà où j'en suis:

J'ai tenté de désinstaller Adobe Reader mais après une demi heure, ce n'était toujours pas fini. J'ai donc fermé l'application avec le gestionnaire des tâches. Quand je retourne dans "Ajouter ou supprimer des programmes", Adobe Reader n'est plus dans la liste mais dans mon dossier Program Files il reste un dossier Adobe avec un sous-dossier Reader que je ne peux pas effacer (accès refusé).

J'ai tenté d'aller sur Virus Total mais la page ne veut pas s'afficher. Voici le message:

Petit problème... Google Chrome n'est pas parvenu à accéder à la page 

Je réessaierai ce soir, merci de ton aide.

LeMiniMoine

g3n-h@ckm@n · Answer

pas grave fais la suite :)

LeMiniMoine · Answer

Ok,

J'ai donc fait la suite.

Je poste ci-dessous le rapport de Pre-script:


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.125 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mise à jour : 12/12/2011 | 15.00 Par g3n-h@ckm@n
Utilisateur : Stan De Leener (Administrateurs)
Ordinateur : STAN
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 6.0.2900.5512
Mozilla Firefox : 7.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command:: 
attrib:: | txt:: | Host:: | NsLook::
list:: | IP:: | ADS:: | Kill:: | clean::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
Tray::

Script : 16:38:35

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Absent : C:\Documents and Settings\Stan De Leener\ylxkrwhfv3.exe 
Absent : C:\WINDOWS\TEMP\Yrd.exe 
Absent : c:\windows\system32	xywakwn.dll 
Supprimé : C:\Documents and Settings\All Users\Application Data\TkmE8G.dat 

¤

Supprimé : C:\Documents and Settings\Stan De Leener\Application Data\Sauh 
Supprimé : C:\WINDOWS\TEMP\gwerfd 
Supprimé : C:\Documents and Settings\Stan De Leener\Application Data\Adobe\plugs 
Supprimé : C:\WINDOWS\$XNTUninstall643$ 
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Titan Poker 
Supprimé : C:\Documents and Settings\Stan De Leener\Application Data\Atybpu 
Supprimé : C:\Documents and Settings\Stan De Leener\Application Data\DFCBDA2512964555435F35EA42C32157 
Supprimé : C:\Documents and Settings\All Users\Application Data\gA00000McNoM00000 
Supprimé : C:\Documents and Settings\All Users\Application Data\lL00000GhMkE00000 
Absent : C:\WINDOWS\Temp\pdkm 

¤

Disques externes : 55 Objets réattribués
Disque Local : 13 Objets réattribués
Utilisateurs : 0 Objets réattribués
ProgramFiles : 25 Objets réattribués
Music : 0 Objets réattribués
Pictures : 0 Objets réattribués
Videos : 0 Objets réattribués
Downloads : 0 Objets réattribués
Desktop : 0 Objets réattribués
Links : 0 Objets réattribués
Searches : 0 Objets réattribués
Contacts : 4 Objets réattribués
Saved Games : 0 Objets réattribués
Favorites : 0 Objets réattribués
Documents : 0 Objets réattribués
Windows : 95 Objets réattribués
StartMenu : 0 Objets réattribués
Librairies : 0 Objets réattribués
Quick Launch : 0 Objets réattribués
%AppData% : 35 Objets réattribués

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 16:42:29

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤



Et le rapport de SalityKiller sur pjjoint :

https://pjjoint.malekal.com/files.php?id=20111213_t7g7i7l13l12

Encore merci, franchement je comprends pas ce que je fais pour le moment et j'espère juste que ça va marcher! :)

LeMiniMoine

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

LeMiniMoine · Answer

Lorsque j'ai fait: "supprimer les fichiers infectés", Malwarebytes m'a indiqué qu'il y en avait certains qu'il ne pouvait pas supprimer. Voici le rapport :


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8365

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

13/12/2011 22:08:48
mbam-log-2011-12-13 (22-08-48).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 368817
Temps écoulé: 2 heure(s), 35 minute(s), 55 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 17

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dvebeztk (Rootkit.Agent.BO) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\4ECYTQ9SIC (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\J40NOZ44HU (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\idgbn5xehg (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\$XNTUninstall643$ (Adware.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{F26A9FCE-4F3A-AD7E-3B39-C3FB17BEE0E9} (Trojan.ZbotR.Gen) -> Value: {F26A9FCE-4F3A-AD7E-3B39-C3FB17BEE0E9} -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\syte821.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\WINDOWS\system32\drivers\dvebeztk.sys (Rootkit.Agent.BO) -> Delete on reboot.
c:\documents and settings\default user\menu démarrer\programmes\démarrage\ujij.exe (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\documents and settings
etworkservice\application data\Sun\Java\deployment\cache\6.0\27\7b4bc69b-5de0bcb9 (Trojan.Downloader.adb) -> Quarantined and deleted successfully.
c:\Kill'em\quarantine\conhost.exe.kill'em (PUP.BitMiner) -> Quarantined and deleted successfully.
c:\Kill'em\quarantine\6.0.kill'em\28\49e490dc-597b6c1f (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{0698c787-2f7e-4fda-a967-472c26b53e0f}\RP71\A0073675.exe (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\system volume information\_restore{0698c787-2f7e-4fda-a967-472c26b53e0f}\RP72\A0079798.exe (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\system volume information\_restore{0698c787-2f7e-4fda-a967-472c26b53e0f}\RP72\A0081797.exe (Malware.Packer) -> Quarantined and deleted successfully.
c:\system volume information\_restore{0698c787-2f7e-4fda-a967-472c26b53e0f}\RP72\A0082797.exe (Malware.Packer) -> Quarantined and deleted successfully.
c:\system volume information\_restore{0698c787-2f7e-4fda-a967-472c26b53e0f}\RP72\A0085797.exe (Malware.Packer) -> Quarantined and deleted successfully.
c:\system volume information\_restore{0698c787-2f7e-4fda-a967-472c26b53e0f}\RP72\A0086802.exe (Malware.Packer) -> Quarantined and deleted successfully.
c:\system volume information\_restore{0698c787-2f7e-4fda-a967-472c26b53e0f}\RP72\A0087803.exe (Malware.Packer) -> Quarantined and deleted successfully.
c:\system volume information\_restore{0698c787-2f7e-4fda-a967-472c26b53e0f}\RP72\A0087804.exe (Malware.Packer) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\vqvcvn\setup.exe (Malware.Packer) -> Quarantined and deleted successfully.
c:\documents and settings
etworkservice\application data\Adobe\shed	hr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings
etworkservice\application data\Adobe\plugs\mmc166.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\syte821.bin\a10759f6e2e6812 (Trojan.SpyEyes) -> Quarantined and deleted successfully.

Merci pour l'aide,

LeMiniMoine

g3n-h@ckm@n · Answer

ok retente virus total

============================

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques USB sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )