Envahi de processus iexplore.exe et pc qui rame

Résolu/Fermé
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014 - 4 janv. 2014 à 21:55
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 8 janv. 2014 à 20:01
bonsoir à tous,

Depuis quelques temps le pc de mon oncle rame énormément, le gestionnaire des tâches et envahi du processus iexplorer.exe , de 1ycag.com. j'ai aussi svchost.exe - pas de disque qui s'affiche.

voir screen : https://www.cjoint.com/?3AevPJiNllk


Quelqu'un pourrait-il m'aider svp ?

merci beaucoup.
A voir également:

10 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 janv. 2014 à 21:56
Salut,

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.
1
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014
4 janv. 2014 à 22:48
merci de ton aide. télécharger le prog et l'utilisé fut très long.
(le pc est de 2007)

le résulta:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.01.04.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19088
Francis :: PC-DE-FRANCIS [administrateur]

04/01/2014 22:16:14
mbam-log-2014-01-04 (22-16-14).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 229911
Temps écoulé: 25 minute(s), 8 seconde(s)

Processus mémoire détecté(s): 3
C:\Users\Francis\AppData\Local\wuauclt.exe (PUP.Riskware.Bitminer) -> 3124 -> Aucune action effectuée.
C:\Users\Francis\AppData\Roaming\477A.exe (Trojan.MSIL.Gen) -> 3640 -> Suppression au redémarrage.
c:\windows\installer\{e107d295-287e-2d93-0add-bb9eeac8be88}\syshost.exe (Trojan.Agent) -> 2776 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SYSHOST32 (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Win Update (Trojan.MSIL.Gen) -> Données: C:\Users\Francis\AppData\Roaming\477A.exe -> Mis en quarantaine et supprimé avec succès.
HKLM\SYSTEM\CurrentControlSet\Services\syshost32|ImagePath (Trojan.Agent) -> Données: "C:\Windows\Installer\{E107D295-287E-2D93-0ADD-BB9EEAC8BE88}\syshost.exe" /service -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 28
C:\Users\Francis\AppData\Local\wuauclt.exe (PUP.Riskware.Bitminer) -> Aucune action effectuée.
C:\Users\Francis\Local Settings\wuauclt.exe (PUP.Riskware.Bitminer) -> Aucune action effectuée.
C:\ProgramData\Search Protection\SearchProtection.exe (PUP.Optional.SearchProtection.A) -> Aucune action effectuée.
C:\Users\Francis\AppData\Roaming\477A.exe (Trojan.MSIL.Gen) -> Suppression au redémarrage.
C:\Users\Francis\AppData\Roaming\39B5.exe (Trojan.VBInject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Francis\AppData\Roaming\4A67.exe (Trojan.VBInject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Francis\AppData\Roaming\77ED.exe (Trojan.VBInject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Francis\AppData\Roaming\89B8.exe (Trojan.VBInject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Francis\AppData\Roaming\D0F5.exe (Trojan.VBInject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Francis\AppData\Roaming\verison.dll (Trojan.Agent.UKN) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Francis\AppData\Roaming\Tida\ruyw.exe (Spyware.Password) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Francis\AppData\Local\Temp\1EDB.tmp (Trojan.Agent.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Fonts\1ycAg.com (Trojan.VBInject) -> Suppression au redémarrage.
c:\users\francis\appdata\local\temp\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\windows\serviceprofiles\localservice\appdata\local\temp\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\windows\serviceprofiles\networkservice\appdata\local\temp\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\windows\temp\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\users\francis\appdata\local\syshost.exe (Exploit.Drop.GSLAD) -> Suppression au redémarrage.
c:\windows\serviceprofiles\localservice\appdata\local\syshost.exe (Exploit.Drop.GSLAD) -> Suppression au redémarrage.
c:\windows\serviceprofiles\networkservice\appdata\local\syshost.exe (Exploit.Drop.GSLAD) -> Suppression au redémarrage.
c:\windows\system32\config\systemprofile\appdata\local\syshost.exe (Exploit.Drop.GSLAD) -> Suppression au redémarrage.
c:\users\francis\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\users\public\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\windows\serviceprofiles\localservice\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\windows\serviceprofiles\networkservice\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\windows\system32\config\systemprofile\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\windows\syshost.exe (Trojan.Downloader) -> Suppression au redémarrage.
c:\windows\installer\{e107d295-287e-2d93-0add-bb9eeac8be88}\syshost.exe (Trojan.Agent) -> Suppression au redémarrage.

(fin)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 janv. 2014 à 22:49
Ton PC est blindasse de RAT.

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE



0
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014
4 janv. 2014 à 23:01
bon, c'est mal barré, je peux plus ouvrir de page web, donc je passe par mon, pc perso. je fait la manip et je te poste le tout en liens.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014
4 janv. 2014 à 23:27
impossible de faire l'analyse, le pc ce fige! rien ne répond j'ai débranché à l'arrache.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 janv. 2014 à 23:29
nettoye les ventilos au cas où.
0
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014
4 janv. 2014 à 23:37
je suis allez dans le gestionnaire et j'ai le processus wuaudt.exe qui tourne à 100%,
je peux rien faire ...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 janv. 2014 à 23:38
Fais le scan en mode sans échec..

Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

La suite demain, bonne nuit.
0
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014
4 janv. 2014 à 23:39
ok, merci beaucoup
bonne nuit
0
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014
5 janv. 2014 à 13:35
bonjour, voila les liens (je te met tout)

- le doc : https://pjjoint.malekal.com/files.php?id=20140105_b12n15c10w8i7

- Evaluer son rapport de scan OTL, HijackThis, ZHPDiag etc avec filtrage des lignes légitimes : https://pjjoint.malekal.com/files.php?read=20140105_b12n15c10w8i7&html=on&filtre=legitime

- Evaluer son rapport de scan OTL, HijackThis, ZHPDiag etc : https://pjjoint.malekal.com/files.php?read=20140105_b12n15c10w8i7&html=on
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
5 janv. 2014 à 13:44
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2014/01/04 15:16:01 | 000,000,000 | ---D | M] (Default) -- C:\Program Files\mozilla firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
[2014/01/04 23:34:34 | 000,006,144 | ---- | M] () -- C:\Users\Francis\AppData\Roaming\74D1.exe
[2014/01/04 23:23:13 | 000,125,952 | ---- | M] () -- C:\Users\Francis\AppData\Roaming\c731200
[2014/01/04 23:23:13 | 000,006,144 | ---- | M] () -- C:\Users\Francis\AppData\Roaming\E2B0.exe
[2014/01/04 22:55:19 | 000,006,144 | ---- | M] () -- C:\Users\Francis\AppData\Roaming\4B90.exe
[2014/01/04 22:10:28 | 000,128,000 | ---- | M] () -- C:\Users\Francis\AppData\Local\wuauclt.exe
[2014/01/04 23:34:34 | 000,125,952 | ---- | M] () -- C:\Users\Francis\AppData\Roaming\Identities\Ibueum.exe
[2014/01/04 23:23:13 | 000,125,952 | ---- | M] () -- C:\Users\Francis\AppData\Local\Temp\Adobe\Reader_sl.exe
[2014/01/04 22:10:28 | 003,145,043 | ---- | C] (Red Hat) -- C:\Users\Francis\AppData\Local\cygwin1.dll
:files
C:\Windows\tasks\At*.job

* poste le rapport ici



~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

0
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014
5 janv. 2014 à 14:23
j'ai upload le zip sur le site et le rapport d'origine tu le veux ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
5 janv. 2014 à 14:24
non c'est bon.
J'ai tout merci.

refais un scan OTL et donne le rapport via pjjoint.
0
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014
5 janv. 2014 à 14:28
un scan otl tout simple ou un scan avec du texte en personnalisation ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
5 janv. 2014 à 14:30
tout pareil que la première fois.
0
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014
5 janv. 2014 à 14:53
tient (dsl du retard).
https://www.cjoint.com/?3AfoZWJ3mAm

ps: je suis toujours en mode sans echec
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
5 janv. 2014 à 15:18
Ca doit commencer à aller mieux.
Demain, tu mets à jour les defs de Malwarebytes et refais un scan avec.

Change tes mots de passe en attendant.
0
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014
5 janv. 2014 à 15:25
ok, merci de ton aide
0
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014
6 janv. 2014 à 17:15
salut,
bon j'ai fait lancé Malwarebytes, fait la mise à jour et effectué un scan.
je t'envoie le rapport ?
0
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014
6 janv. 2014 à 17:24
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.01.06.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19088
Francis :: PC-DE-FRANCIS [administrateur]

06/01/2014 16:56:42
mbam-log-2014-01-06 (16-56-42).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 231625
Temps écoulé: 14 minute(s), 23 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Francis\AppData\Local\Temp\37C4.tmp (Malware.Packer.PEX) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Francis\AppData\Local\Temp\AFA.tmp (Malware.Packer.PEX) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014
7 janv. 2014 à 07:09
je poste vite fait avant d'aller au boulot.
j'ai d'autre manip à faire ? et si c'est terminé, quel antivirus/pare feu me conseil tu ?

merci, bonne journée
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 janv. 2014 à 08:29
Avast! est pas trop mal.


Ca doit être bon.
Fais des scans Malwarebytes ces prochains jours.

Change bien tous tes mots de passe.

Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
0
Kalidor80 Messages postés 16 Date d'inscription vendredi 3 janvier 2014 Statut Membre Dernière intervention 8 janvier 2014
8 janv. 2014 à 19:49
merci beaucoup pour ton aide et bonne continuation :)

j'ai encore windows update (qui ne veux pas fonctionner) et kaspersky 2014 (qui refuse de s'intaller), je ferai un autre poste quand j'aurai récupéré le pc.

à bientôt lol.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 janv. 2014 à 20:01
ciao :)
0