Attaque virale : ouverture multiple de processus iexplorer32

Fermé
Ron' - 10 août 2014 à 18:30
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 11 août 2014 à 12:42
Bonjour à tous !
Depuis 2 semaines, ma navigation web est rendue très difficile (voire impossible) par l'ouverture et le pompage de ressources de plusieurs iexplorer.exe *32 ou chrome.exe*32 qui s'ouvrent de façon intempestive en même temps et font ramer la bête.
Je suis sous AVIRA, j'ai fait tourner ADW Cleaner, MalwareBytes et Clean Up, qui m'ont permis de détecter et fixer qq PUP et Adware, mais le pb persiste bien évidemment.
J'ai téléchargé et fait tourner HijcackThis et ZHP, mais les logs sont (presque) du chinois pour moi ...
Un grand master de la sécurité aura-t-il quelques minutes à perdre avec un jeune Padawan comme moi ?
Par avance, MERCI mille fois !
Ron'

9 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 624
10 août 2014 à 18:31
Salut,


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


0
Bonjour,
Merci bcp pour la réponse !
C'est marrant : je venais de télécharger OTL et de le lancer (en suivant les posts d'administrateurs et d'internautes désemparés comme moi!) : juste c'est pas tout à fait la même liste d'adresses à tester (mais ça ressemble beaucoup)
Le scan d'OTL est en cours depuis déjà une heure.
Je poste le lien du rapport dès que possible
Ron'
0
Voilà le lien pour le fichier OTL.txt (c'est assez énorme !) :
http://pjjoint.malekal.com/files.php?id=OTL_20140810_11i7g11z9i10
Et pour le Extras.txt :
http://pjjoint.malekal.com/files.php?id=OTL_Extras_20140810_b1013c8s6s10

Bien curieux de voir ce que ça peut donner !
Pas besoin des derniers rapports HijackThis ou ZHP ?
Ron'
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 624
Modifié par Malekal_morte- le 10/08/2014 à 20:55
Supprime ce fichier : C:\Program Files (x86)\JavaSetup7u67.com


~~

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Voilà le rapport de TDSS Killer (A priori, il n'a rien trouvé?)
Lien du rapport :
http://pjjoint.malekal.com/files.php?id=20140810_r13m8p12m11f12

Sinon, AVIRA avait détecté hier un virus nommé Appl/linkury.gen2 , qui a été mis en
quarantaine, si ça peut aider ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 624
10 août 2014 à 21:21
ouaip pas infecté.
Il est détecté dans quel fichier le linkury ?
0
Dans c:\Users\Ronan B\appdata\local\temp\smartbarexeinstaller.exe
0
A noter qu'il y a une semaine, AVIRA avait aussi mis en quarantaine un TR/Dropper.gen qu'il avait trouvé dans:

C:\users\RB\Appdata\local\Microsoft\windows\Temporary Internet Files\low\content.IE5\TKINBUPW\java_installer[1].exe
0
Dans c:\Users\Ronan B\appdata\local\temp\smartbarexeinstaller.exe
0
A noter qu'il y a une semaine, AVIRA avait aussi mis en quarantaine un TR/Dropper.gen qu'il avait trouvé dans:

C:\users\RB\Appdata\local\Microsoft\windows\Temporary Internet Files\low\content.IE5\TKINBUPW\java_installer[1].exe
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 624
10 août 2014 à 23:21
mouaip rien de grave en somme.

Bref pas infecté.
0
Ok, merci !
N'empêche, le processeur continue à tourner tout le temps, et chrom.exe s'ouvre 3 ou 4 fois pour une seule fenetre internet, avec 100 000K de ressurce pour chaque processus ...
Je vais continuer mes recherches !!!
Merci
Ron'
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 624
Modifié par Malekal_morte- le 11/08/2014 à 12:42
c'est normal les 100k.
0