PC planté sous ie au bout de 5 minutes

djazz56 · le 15 janvier 2006

Bonjour à tous

Je viens juste de changer de disque dur. lorsque je me suis connecté pour la première fois sur internet explorer j'ai reçu presque instantanément un message me disant que windows avait détécté x erreurs critiques et m'invitant à me rendre sur un site pour télécharger un logiciel. J'ai beau avoir lancé spybot et adaware, il me trouvait bien quelques petits fichiers à enlever mais rien n'y fait à chaque fois que je vais sur ie des petits message du même style apparaissent. Puis au bout de 5 minutes mon ordi se bloque en grande partie : Je n'ais plus accès au gestionnaire des tâches, à l'explorer ou encore à ma connection internet. De même j'ai accès au panneau de configuration mais pas à l'option ajout suppression de programme et lorsque je veux lancer windows update pour la première fois, il télécharge le nouvel installer, me dit qu'il est bien installé et lorsque je fais une nouvelle rechercher de mise à jour il se remet à le télécharger et à l'installer (c'est le serpent qui se mord la queue).

NOD 32 m'a balancé ma première alerte virus avant hier au sujet d'une application ccApp1.exe dans la system 32. Je la supprime ou la renomme, mon ordi fonctionne bien pendant une heure et hop ccapp1 réapparait avec une palanquée d'alerte virus. Des fichiers "infectés"sont bien présents dans system32, mais aucune des modifcations que ces virus sont supposés faire sont détectable dans la base de registre ou dans l'explorer.

Je décide donc de reformater ma partition windows et de tout réinstaller (firewall, anti virus, spybot) avant de me connecter pour la première fois. ET là surprise, alros que je suis en train de mettre à jour nod32 en ne m'étant jamais connecté à ie, je reçois de nouveau ces messages à deux balles et mon pc se bloque à nouveaux dans les 5 minutes.

A noter que j'ai reçu deux fois le message d'alerte windows doit fermer car il ne trouve pas la liaison rpc (avec la petit timer de 59 secondes je crois) et que mon pc fonctionne PARFAITEMENT lorsque je ne me connecte pas et lorsque je suis sous mozilla comme maintenant (mais je n'ai pas pour autant accès à ce que je vous disais auparavant).

Je suis complètement paumé merci de me filer un coup de main

Voici mon log HJT réalisé en mode sans échec.

Logfile of HijackThis v1.99.1

Scan saved at 11:14:11, on 15/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\UTILIT~1\SPYBOT~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe

O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] D:\utilitaires\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: DSLMON.lnk = ?

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\utilitaires\Personal Firewall 4\kpf4ss.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

djazz56 · le 15 janvier 2006

Jai oublié de préciser qoe depuis monformatge je n'ai pas vu ccapp1 réapparaitre dans system32 et nod32 ne m'a pas alerté une seule fois au sujet d'un virus. ET lors du premier message d'erreur bidon, kerio venait de me demander si j'autorisais un generic host process for win32 services, et aussitot que j'ai dit oui le message est apparu.

Meric pour votre aide

Thanos · le 16 janvier 2006

salut djazz56 et bienvenue sur le forum

Ton rapport ne montre pas d'infection.Cependant ce que tu dis démontre le contraire!

Peut tu faire ceci stp:

-Télécharge Dll compare:

http://www.downloads.subratam.org/DllCompare.exe

Lance Dllcompare,et clique sur le bouton "Run Locate.com" puis clique sur "Compare ".

Lorsque le scan est fini, clique sur le bouton Make a Log of what was found copie/colle le rapport ici dans

un nouveau message.

Je te fais faire ceci pour voir si on trouve une infection par VX2.BetterInternet

djazz56 · le 16 janvier 2006

Je te mets le rapport de dllcompare et de vx2finder. Par contre je n'ai plus aucun problème depuis hier après-midi! J'ai enfin pu me connecter à windows update et mettre à jour les failles de sécurité.... La seule manip que j'ai faite c'est d'enlever la restauration du système et de retarder l'horloge d'un an lorsque j'ai eu de nouveau lemessage comme quoi windows allait fermer dans 1 minute. Ce qui m'a permit de terminer des téléchargements et au reboot j'ai de nouveau mis mon horloge en 2006. Et depuis je n'ai plus aucun pb ......

Voici les deux rapports :

* DLLCompare Log version(1.0.0.127)

Files Found that Windows does not See or cannot Access

*Not everything listed here means you are infected!

________________________________________________

O^E says: "There were no files found "

________________________________________________

1 142 items found: 1 142 files, 0 directories.

Total of file sizes: 231 497 261 bytes 220,77 M

Administrator Account = True

--------------------End log---------------------

****************************************************

Log for VX2.BetterInternet File Finder (ALL)

Files Found---

Additional Files---

Keys Under Notify---

AtiExtEvent

crypt32chain

cryptnet

cscdll

ScCertProp

Schedule

sclgntfy

SensLogn

termsrv

wlballoon

Guardian Key--- is called:

Guardian Key--- :

User Agent String---

Thanos · le 16 janvier 2006

salut djazz56

retarder l'horloge d'un an lorsque j'ai eu de nouveau le message comme quoi windows allait fermer dans 1 minute. Ce qui m'a permit de terminer des téléchargements et au reboot j'ai de nouveau mis mon horloge en 2006. Et depuis je n'ai plus aucun pb .

comme quoi des fois les ruses les plus simples fonctionnent!

Tes deux rapports sont clean!Tu peux faire un scan en ligne pour finaliser si tu le souhaites:

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

@+ tard

djazz56 · le 16 janvier 2006

Voilà ce que me donne le scan de panda :

Incident Statut Analyse

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\elle et moi\Application Data\Mozilla\Firefox\Profiles\nvadf8n7.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\elle et moi\Application Data\Mozilla\Firefox\Profiles\nvadf8n7.default\cookies.txt[.as-us.falkag.net/]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\elle et moi\Application Data\Mozilla\Firefox\Profiles\nvadf8n7.default\cookies.txt[]

Par contre je me demandais si je pouvais remettre en fonction la restauration ou est ce que ça craint?

Thanos · le 16 janvier 2006

Panda n'a pour ainsi dire rien détecté de mauvais!(quelques cookies à 2 balles).

Par contre, oui tu doit remettre ta restauration système en route:ton pc n'étant visiblement plus infecté c'est important de pouvoir retrouver une image saine de ton pc en cas de problème!Un point de restauration va être créé automatiquement dès que tu auras réactivé celle ci.

djazz56 · le 16 janvier 2006

ok

merci charles pour l'aide fournie. Ca a été super rapide les réponse

Bonne journée à tous ou plutôt bonne nuit. Moi j'habite à Tahiti alors il n'est que 12h41 en ce moment

Thanos · le 16 janvier 2006

Moi j'habite à Tahiti alors il n'est que 12h41 en ce moment

Quelle chance je troquerai bien mon écharpe et mes gants contre un short

alors bon appétit :-P

Quelques conseils pour surfer en paix:

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier( journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

Pour en savoir plus, consulte la page de ipl_001:

http://gerard.melone.free.fr/IT/IT-AM0.html

Voici les utilitaires et programmes que tu peux installer pour sécuriser ton pc:

-=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe:

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial: http://forum.zebulon.fr/index.php?showtopic=69628

Si tu veux toujours utiliser IE! :

-=> E-SPYAD:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichierie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! )

https://netfiles.uiuc.edu/ehowes/www/resource.htm#IESPYAD

=> ZebProtect (pour sécuriser les ports de ton pc,tres simple)