iexplore = 100%

[gvlens]

quand je me connecte à internet, iexplore monte à 100% sur certaines pages genre cdiscount et sature mon uc

pas de virus détecté, de plus j'ai + de900mo de ram

 

voici mon rapport sur hijackthis:

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RunDll32.exe

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

L:\Logiciels\Indispensables\Hijackthis 1.99\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: CFilter Object - {2A7B720A-7A28-4e99-80A0-2DF985EC93D0} - C:\WINDOWS\System32\font.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\pumba2.dll

O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [soundFusion] RunDll32 hercplgs.cpl,BootEntryPoint

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Enregistrement d'un produit Joint Operations Typhoon Rising.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O17 - HKLM\System\CCS\Services\Tcpip\..\{858F5AA6-B0F1-4223-BFA7-49A1746BD4D4}: NameServer = 192.168.0.1

O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

d'avance merci pour votre aide

[megataupe]

Bonjour et bienvenue sur le forum Zébulon Sécurité

 

Si tu penses que ton PC est infecté, commence par faire un peu de ménage dans le système :

 

lance l'Explorateur Windows et supprime le contenu de

--- C:\Temp

--- C:\Windows\Temp

 

suppression des fichiers inutiles par :

 

-----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles.

 

nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

 

examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer ou Firefox en java) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent

 

recherche d'hijack furieux avec CWShredder (ajouté par megataupe) à télécharger sur http://www.intermute.com/products/cwshredder.html

 

examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve

 

examen antispyware par

------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve

 

----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve.

 

Ensuite poste un nouveau rapport hijackthis avec la dernière version du logiciel :

 

- télécharger HijackThis de Merijn Belekom

http://www.merijn.org/files/hijackthis.zip

 

- l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp)

- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé.

- cliquer sur 'Scan', l'affichage est instantané.

- à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.

- une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

- mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire.

- fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.

- attendre l'analyse et la réponse.

 

 

Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

[S.Birkoff]

Bonjour,

 

Apres avoir effectuer ce que megataupe ta indiqué,

 

Coche ces lignes dans hijackthis :

O2 - BHO: CFilter Object - {2A7B720A-7A28-4e99-80A0-2DF985EC93D0} - C:\WINDOWS\System32\font.dll

O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\pumba2.dll

O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba2.dll

 

Puis clique sur Fix checked

 

Assure toi d'avoir acces au fichier/dossiers cachés :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

Supprime les fichiers suivants en mode sans echec ( si ils existent) :

C:\WINDOWS\System32\font.dll<-- le fichier

C:\WINDOWS\pumba2.dll<<-- le fichier

 

Puis redemarre normalement et recache les fichiers dossiers cahés pour ne pas faire de betises plus tard.

 

Telecharge CleanUp!

Installe le

Lance le

Clique sur le bouton "CleanUp!"

 

Puis redemarre et reposte un log hijackthis pour verification.

S.B

 

PS : Au vu de ton rapport je ne pense pas que ce problème vienne d'un malware.

[megataupe]

pumba

 

Salut Birkoff . Oh là ! Tu veux lui faire trucider mon terre-neuve , il s'appelle justement Pumba et il consomme effectivement beaucoup de mes ressources .

[gvlens]

Salut Birkoff . Oh là ! Tu veux lui faire trucider mon terre-neuve , il s'appelle justement Pumba et il consomme effectivement beaucoup de mes ressources .

513785[/snapback]

 

que signifie ta dernière remarque mégataupe

 

est ce que ce que préconise Birkoff est ok ou non

[megataupe]

Tu peux faire confiance aux conseils de Birkoff mais, j'ai bien un chien qui s'appelle Pumba. C'était une boutade entre-nous (un peu d'humour fait du bien parfois).

[S.Birkoff]

j'ai bien un chien qui s'appelle Pumba. C'était une boutade entre-nous (un peu d'humour fait du bien parfois).

Au début j'ai failli tomber de ma chaise tellement j'avais pas compris

Bonne initiative de détendre l'atmosphere il y en a toujours besoin

@ gvlens :

Pour te rassurer :

 

CFilter Object :>> Make-deal.com malware

ZToolbar Activator Class :>> Adware.MWSearch

Search Toolbar :>> Adware.MWSearch

 

Tu peux donc fixer sans hesitation

S.B

[Invité tesgaz]

Salut,

 

il ferait un scan avec la derniere version d'hijackthis, ce serait mieux ?

[S.Birkoff]

il ferait un scan avec la derniere version d'hijackthis, ce serait mieux ?

Comment voit tu qu'il n'a pas la 1.99.1? Il a justement oublié de le mettre dans son rapport? Dans le premier message de megataupe il y a le lien vers la dernière version donc si gvlens a suivi lesconsignes de megataupe son rapport est fait avec la 1.99.1 ( je me suis basée la dessus).

Je mets quand même le lien pour la dernière version une nouvelle fois...

S.B

[Invité tesgaz]

les services O23 correspondent a la version 1.99.0

et non pas à la version 1.99.1