Problème explorer.exe 50% pross + messagerie facebook virusFermé

Question

Bonjour a tous, 
Voilà, il y a environs une semaine, quelqu'un m'a envoyé un objet sur facebook téléchargeable. C'était une photo avec écrit "hahaha" en commentaire.
J'ai cliqué dessus et surprise, le pc s'est mit totalement a ramer.

En ouvrant mon gestionnaire des taches, il se trouve que 4 "explorer.exe *32" se sont rajouter en plus de mon explorer.exe de base. Un de ces explorer tourne environs a 500 000K et augmente au fur et a mesure, et un autre monte a 50 au niveau "processeur".

Ces explorer partent de temps en temps, et reviennent tous les jours.

En plus ce ca, ce matin, un message a été envoyé a tout mes contacts facebook avec devinez quel message ? "hahaha + photo"! Je suis entrain de scanner mon pc avec avast et super antispyware mais rien ne se passe. Je commence a péter les plombs, HELP ME! :p

Merci d'avance.
Paul

Destrio5 · Answer

Bonjour,

On va regarder avec un outil de diagnostic :

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

--> Clique sur "Complet".

--> Une fois le scan terminé, un rapport est créé sur le Bureau. 

--> Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message.

Polzo76 · Answer

Bonjour Destrio5, merci de venir a mon secours ! ^^

Voilà : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140603_i12h11b5q8k6


Dans mon "démarrage" il y a un truc qui s'appel "AAAAAAAAAA...." que j'ai justement désactivé. En lisant le rapport j'ai remarqué qu'un deuxieme a apparu!

Destrio5 · Answer

--> Désinstalle Ad-Aware Antivirus (il est inutile).

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


Script ZHPFix
SysRestore
R3 - URLSearchHook: (no name) [64Bits] - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (.Microsoft Corporation - Navigateur Internet.) (No version) -- (.not file.)   
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} Clé orpheline
O4 - HKCU\..\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] Clé orpheline  
O4 - HKCU\..\Run: [svchost] regsvr32 \s C:\Temp:00D5D397.dat (.not file.)  
O4 - HKUS\S-1-5-21-4067599432-67590582-4139912651-1000\..\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] Clé orpheline   
O4 - HKUS\S-1-5-21-4067599432-67590582-4139912651-1000\..\Run: [svchost] regsvr32 \s C:\Temp:00D5D397.dat (.not file.) 
O42 - Logiciel: VLC Media Player Packages - (...) [HKCU][64Bits] -- VLC Media Player Packages
O43 - CFD: 19/09/2012 - 01:10:24 - [] ----D C:\Users\Paul\AppData\Local\CRE 
O51 - MPSK:{bd974cba-1d1b-11e2-850a-0019dbd14d30}\AutoRun\command. (...) -- E:\Installer.exe (.not file.)  
O53 - SMSR:HKLM\...\startupreg\svchost  [Key] . (...) -- regsvr32 \s "C:\Temp:00D5D397.dat" (.not file.)  
O69 - SBI: prefs.js [Paul - nmmx5jr8.default] user_pref("extensions.crossriderapp4479.4479.plugins.plugin_4.code", "/*! jQuery v1.7.1 jquery.com | jquery.org/license */
(funct[...]   
O69 - SBI: SearchScopes [HKCU] {B76DACDB-2E9C-4247-A4C0-FBC49C1D007D} - (uTorrentBar_FR Customized Web Search) - http://search.conduit.com 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\VLC Media Player Packages] 
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110011441179}] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6c97a91e-4524-4019-86af-2aa2d567bf5c}] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]  
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179}]  
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011441179}]  
C:\Users\Paul\AppData\Roaming\VLCMediaPlayerPackages 
EmptyFlash
EmptyTemp


--> Lance ZHPFix depuis le raccourci situé sur ton Bureau.

--> Clique sur le bouton IMPORTER. Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître. 

--> Clique sur GO et confirme pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.

--> Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message.

Polzo76 · Answer

Mon ZHPFix plante directement (Ne répond plus)...

Destrio5 · Answer

Ok...

--> Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.

--> Ferme toutes les applications en cours.
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Coche la case Addition.txt.
--> Clique sur Scan.
--> Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
--> Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.

Polzo76 · Answer

Addition : https://pjjoint.malekal.com/files.php?id=20140603_b6p9x15g13y13

FRST : https://pjjoint.malekal.com/files.php?id=20140603_o6i14o5i13j13

Destrio5 · Answer

--> Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
--> Copie-colle le texte en gras ci-dessous dans le Bloc-notes :


start 
SearchScopes: HKCU - {B76DACDB-2E9C-4247-A4C0-FBC49C1D007D} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
HKU\S-1-5-21-4067599432-67590582-4139912651-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1
HKU\S-1-5-21-4067599432-67590582-4139912651-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:00D5D397.dat"
AlternateDataStreams: C:	emp:00A8370A.dat
AlternateDataStreams: C:	emp:00D594D3.dat
AlternateDataStreams: C:	emp:00D5D397.dat
AlternateDataStreams: C:	emp:list3
AlternateDataStreams: C:	emp:pid1
AlternateDataStreams: C:	emp:pid2
AlternateDataStreams: C:	emp:srv
AlternateDataStreams: C:\Windows:83841F41179643A6
end


--> Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Clique sur Fix. Patiente le temps de la correction.

Note : si l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement, l'outil terminera son travail.

--> Une fois la correction terminée, un rapport Fixlog.txt sera présent sur le Bureau.
--> Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.

Polzo76 · Answer

Voilà le Fixlog : https://pjjoint.malekal.com/files.php?id=20140603_h11m11x5l8d

Destrio5 · Answer

"Erreur - Aucun fichier correspondant à cet ID"

Polzo76 · Answer

https://pjjoint.malekal.com/files.php?id=20140603_o11p13z14w10e6

Et Maintenant ?

Destrio5 · Answer

Ce lien fonctionne.

Réessaie ZHPFix.

Polzo76 · Answer

J'ai encore lancé ZHPFix, mais ce logiciel a encore planté. C'est peut etre un probleme d'installation ? Si je désinstalle et réinstalle le logiciel ? Faudrait-il que je refasse un diagnostic avec ZHPDiag?

Destrio5 · Answer

"Si je désinstalle et réinstalle le logiciel ?"

--> Tu peux essayer.

"Faudrait-il que je refasse un diagnostic avec ZHPDiag?"

--> Oui.

Polzo76 · Answer

La réinstallation a été faite. Voici mon nouveau rapport :  https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140603_6u6m6s15r5

Ce n'est pas un probleme de SP1 ?

Destrio5 · Answer

Plus de problème sur Facebook ?

Le Service Pack 1 de Windows 7 ? Aucun souci.

ZHPFix ne fonctionne toujours pas ?

Polzo76 · Answer

Il se trouve que les explorer.exe *32 ne sont plus là mais partent de temps en temps et reviennent... Depuis midi, plus de messages ont été renvoyer. 
Le ZHPDiag marche, mais c'est le ZHPFIX Qui ne marche pas.

Destrio5 · Answer

Essaie en mode sans échec :
https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/#demarrer-en-mode-sans-echec-avec-windows-7-vista-et-xp

Polzo76 · Answer

J'ai déjà essayé hier et c'est le même problème. L'explorer n'a pas l'aire de revenir  aujourd'hui... S'il perciste et continue  a m'ennuyer je devrai peut etre reformater... Merci pour cette aide précieuse Destrio5, et pour le temps que tu m'as accordé! 
Bon courage pour la suite!

Destrio5 · Answer

Ce n'est pas grave pour ZHPFix, on va faire la même chose mais avec FRST.

Le fixlist :

start
C:\Users\Paul\AppData\Roaming\VLCMediaPlayerPackages 
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\VLC Media Player Packages" /f 
Reg: reg delete "HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110011441179}" /f 
Reg: reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6c97a91e-4524-4019-86af-2aa2d567bf5c}" /f 
Reg: reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375" /f 
Reg: reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5" /f 
Reg: reg delete "HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179}" /f 
Reg: reg delete "HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011441179}" /f 
end

Polzo76 · Answer

désolé, je n'avais pas vu que tu avais répondu. Le Virus n'est pas revenu depuis que j'ai fais toute la manip!!! Merci beaucoup pour tout l'aide que tu m'as donné, et pour le temps que tu m'as accordé. 
Paul

Destrio5 · Answer

Nickel ;)

Pour finir :


1/     

---> Télécharge et installe CCleaner.     
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures.     
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.      


2/     

---> Télécharge DelFix sur ton Bureau puis lance-le.     
* Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.     
* Clique sur Exécuter.     
* Poste le rapport.  


==Prévention==     

Mets à jour Adobe Flash Player Plugin et ActiveX (décoche McAfee Security Scan Plus).    

Désinstalle Java 7 Update 45 et installe la dernière version (décoche Ask si proposé) :
https://www.java.com/fr/download/

Un dossier sur la prévention et sécurité sur Internet est disponible ici.

Problème explorer.exe 50% pross + messagerie facebook virus

21 réponses

Discussions similaires

Newsletters