Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1792 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  Utilisation processeur en permanence par msn

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Utilisation processeur en permanence par msn

n°2985460
fouinardom​eo
Posté le 10-03-2011 à 13:32:53  profilanswer
 

Salut,
 
Hier j'ai eu une alerte avast comme quoi il avait bloqué un dropper : M1DrWeb  (qui se trouvait dans le repertoire temp)
 
Aujourd'hui je redémarre le pc, tout se passe bien mais là je me rend compte que msn rame a fond, le curseur passe sans arret entre la fleche normale et le sablier très rapidement et msn rame a mort... J'en conclue qu'il est infecté par qq chose, mais je ne sais pas comment le détecter et comment le virer le cas échéant ?
 
C'est très génant est ce que quelqu'un pourrait m'aider ?
 
Merci d'avance !
Rémi

mood
Publicité
Posté le 10-03-2011 à 13:32:53  profilanswer
 

n°2985510
Profil sup​primé
Posté le 10-03-2011 à 18:34:27  answer
 

Salut.
 
Bienvenue ici.
 
Il est interdit de poster un rapport sur ce forum. Donc, lis bien mes instructions, en cas de soucis, demande-moi ;)
 
Utilise ce logiciel de diagnostic :
 
   
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
++

n°2985517
fouinardom​eo
Posté le 10-03-2011 à 19:07:42  profilanswer
 

Merci de ton aide !
 
Voici le rapport ZHDiag : http://tinypaste.com/b608a
Et un rapport Ad-Remover que j'avais fait précédemment : http://tinypaste.com/5de35a
 
Ad-Remover m'a trouvé ceci en rapport avec Msn (et les a supprimé) :
Clé trouvée: HKLM\Software\Messenger Plus!\OpenCandy
Clé trouvée: HKLM\Software\Wow6432Node\Messenger Plus!\OpenCandy
 
Et pour finir un scan de malwarebytes : http://tinypaste.com/bba2c
http://img695.imageshack.us/img695/9872/sanstitre1vb.png


Message édité par fouinardomeo le 10-03-2011 à 19:17:07
n°2985525
Profil sup​primé
Posté le 10-03-2011 à 19:27:11  answer
 

Hey ;)
 
Ouais ben t'as tout fait tout seul !  :p  
 
Alors il me semble que tu as bien lancé ZHPDiag après les scan AD-R et MBAM si je ne m'abuse !  :D  
 
Donc :  
 
    • Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
     
    • Copie les lignes suivantes :
 
    ----------------------------------------------------------
 
O4 - HKCU\..\Run: [KUGHGZXAKT] C:\Users\Remi\AppData\Local\Temp\Ghi.exe (.not file.)
O4 - HKUS\S-1-5-21-3383570592-578237019-1991581672-1000\..\Run: [KUGHGZXAKT] C:\Users\Remi\AppData\Local\Temp\Ghi.exe (.not file.)
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job  
[MD5.00000000000000000000000000000000] [APT] [{22116563-108C-42c0-A7CE-60161B75E508}] (.Pas de propri?taire.) -- C:\Users\Remi\AppData\Local\Temp\Ghi.exe (.not file.)  
[MD5.00000000000000000000000000000000] [APT] [{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}] (.Pas de propri?taire.) -- C:\Users\Remi\AppData\Local\Temp\Ghh.exe (.not file.)  
[MD5.00000000000000000000000000000000] [APT] [{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}] (.Pas de propri?taire.) -- C:\Users\Remi\AppData\Local\Temp\Ghj.exe (.not file.)
[HKCU\Software\3D26895M1Z]  
[HKCU\Software\KUGHGZXAKT]      
[HKCU\Software\NtWqIVLZEWZU]    
[HKCU\Software\XML]    
 
    ----------------------------------------------------------
 
    • Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
 
    • Clique sur « Tous », puis sur « Nettoyer »
 
    • Poste le rapport/lien dans ta prochaine réponse
 
===============================================================
 
Tu connais les outils comme AD-Remover ? Ou t'as lancé ça par hasard ?  
 
===============================================================
 
Relance MBAM clique sur l'onglet "Mise à jour" et lance la mise à jour.  
 
Une fois terminée, reviens sur l'onglet "Recherche" et relance un examen dit "Rapide".  
 
Poste le nouveau rapport/lien dans ta prochaine réponse.
 
Précise-moi aussi comment va le pc après ça ;)
 
++

n°2985532
fouinardom​eo
Posté le 10-03-2011 à 19:52:02  profilanswer
 

Merci pour ton aide :)
 
Mon soucis avec msn ne se manifeste plus ça a l'air d'avoir résolu le problème !!
 
Juste j'y repense maintenant, j'ai cliqué par mégarde sur un lien dans un spam sur un forum qui m'a amené sur une page de profil d'un autre forum pérave et j'ai quitté la page immédiatement. Peu de temps après avast a détecté un "dropper", c'était ce fichier Ghi.exe , ghh etc... j'ai tout viré a la main. Et c'est au reboot suivant que les emmerdes ont commencées... Comment un simple site peut-il copier des fichiers exe sur mon disque et ajouter des entrées dans la base de registre ??
 
Ca me fait repenser a un truc qui m'a étonné lors de l'installation de Chrome depuis Firefox, en cliquant sur le bouton l'install exe s'est ouverte toute seule pas de fenetre de téléchargement ni rien de la part de firefox !!! comment c'est possible ? (au cas ou tu le sache ^^)
 
 
Et pour ce que tu m'as dis de faire (j'ai collé ici car c'est pas très long...) :
 

Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-10-03-2011-19-46-01.txt
Run by Remi at 10/03/2011 19:46:01
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
 
========== Clé(s) du Registre ==========
HKCU\Software\3D26895M1Z  => Clé absente
HKCU\Software\KUGHGZXAKT  => Clé absente
HKCU\Software\NtWqIVLZEWZU  => Clé absente
HKCU\Software\XML  => Clé absente
 
========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [KUGHGZXAKT] C:\Users\Remi\AppData\Local\Temp\Ghi.exe (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-21-3383570592-578237019-1991581672-1000\..\Run: [KUGHGZXAKT] C:\Users\Remi\AppData\Local\Temp\Ghi.exe (.not file.)  => Valeur absente
 
========== Fichier(s) ==========
c:\users\remi\appdata\local\temp\ghi.exe  => Supprimé et mis en quarantaine
c:\windows\tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job  => Supprimé et mis en quarantaine
c:\windows\tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job  => Supprimé et mis en quarantaine
c:\windows\tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job  => Supprimé et mis en quarantaine
c:\users\remi\appdata\local\temp\ghh.exe (.not file.)  => Fichier absent
c:\users\remi\appdata\local\temp\ghj.exe (.not file.)  => Fichier absent
 
========== Tache planifiée ==========
Task : {22116563-108C-42c0-A7CE-60161B75E508}  => Tache absente
Task : {62C40AA6-4406-467a-A5A5-DFDF1B559B7A}  => Tache absente
Task : {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}  => Tache absente
 
 
========== Récapitulatif ==========
4 : Clé(s) du Registre
2 : Valeur(s) du Registre
6 : Fichier(s)
3 : Tache planifiée
 
 
End of the scan


 
Et le nouveau scan de MBAM n'a rien trouvé !
 
J'avais deja utilisé AD-Remover mais il y a longtemps et je l'avais totalement oublié, j'suis retombé dessus en recherchant parallelement des solution à mon problème ;)
 
On dirait bien que le problème est resolu :)
 
Merci
Rémi

n°2985545
Profil sup​primé
Posté le 10-03-2011 à 20:15:20  answer
 

Ok ;)
 
Tu peux vider la quarantaine de MBAM.
 
Tu as redémarré ton pc depuis le premier scan MBAM ?  
 
================
 
Tu pourras me refaire un tout dernier scan avec ZHPDiag ? Après quoi, puisque tu me dis que tout est ok, on finalisera ;)
 
====================================
 

Citation :

Juste j'y repense maintenant, j'ai cliqué par mégarde sur un lien dans un spam sur un forum qui m'a amené sur une page de profil d'un autre forum pérave et j'ai quitté la page immédiatement. Peu de temps après avast a détecté un "dropper", c'était ce fichier Ghi.exe , ghh etc... j'ai tout viré a la main. Et c'est au reboot suivant que les emmerdes ont commencées... Comment un simple site peut-il copier des fichiers exe sur mon disque et ajouter des entrées dans la base de registre ??


 
Comment, c'est peut-être un peu long à expliquer ...  
Regarde ici : http://forum.malekal.com/pourquoi- [...] t3259.html
Et là : http://forum.malekal.com/les-explo [...] t3563.html
 
(Ce serait bien de savoir quel site ...  :D )
 
Tu es sûr de n'avoir rien lancé ? (xxxxxx.exe ?)
 
Le site a pu profiter d'une faille de sécurité dans ton navigateur. Tu étais sur Chrome ? Pour moi (et pour pas mal de personnes aussi :D) Chrome et IE sont insuffisant en terme de sécurité ;)
 

Citation :

Ca me fait repenser a un truc qui m'a étonné lors de l'installation de Chrome depuis Firefox, en cliquant sur le bouton l'install exe s'est ouverte toute seule pas de fenetre de téléchargement ni rien de la part de firefox !!! comment c'est possible ? (au cas ou tu le sache ^^)


 
Tu l'as "téléchargé" où Chrome ? On peut parfois lancer les installations directement depuis le navigateur sans passer par le téléchargement. Bien sûr c'est plus dangereux ! :D  

n°2985554
fouinardom​eo
Posté le 10-03-2011 à 21:20:10  profilanswer
 

L'installation de chrome je l'ai effectué depuis le site de google et à partir de firefox.
 
Non jamais executé un exe et oui j'étais sur chrome quand j'suis allé sur la page en question :D
 
Dernier scan ZHPDiag : http://tinypaste.com/121ba
 
Encore merci pour ton aide !


Message édité par fouinardomeo le 10-03-2011 à 21:20:21
n°2985598
Profil sup​primé
Posté le 10-03-2011 à 23:09:24  answer
 

DelFix - Option Suppression
 
Télécharge DelFix (d'Xplode) sur ton bureau.  
 
Lance-le puis sélectionne l'option Suppression et valide en appuyant sur la touche [Entrée]
 
Patiente quelques secondes puis copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.  
 
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )  
 
++

n°2985600
fouinardom​eo
Posté le 10-03-2011 à 23:12:53  profilanswer
 

Qu'est ce qui se passe t'as vu des trucs qui restent ?
 
http://tinypaste.com/086d1e
 
apres : http://tinypaste.com/618832


Message édité par fouinardomeo le 10-03-2011 à 23:16:31
n°2985658
Profil sup​primé
Posté le 11-03-2011 à 10:32:28  answer
 

Hello ;)
 
Non, DelFix est utilisé pour supprimer les outils de désinfection que l'on a utilisés ;)
 
================
 
Vérifie ici ta version de Java, si tu es en retard, mets-toi à jour (tu dois l'être de pas mal :D ) : http://www.java.com/fr/download/installed.jsp
 
================
 
!! TRES IMPORTANT !!
 
Supprimer les anciens points de restauration:
 
▶ Procédure sous Vista/7 : /!\Désactive la restauration puis réactive-la /!\ Cela purgera la restauration du système.
http://www.commentcamarche.net/faq [...] e-de-vista
 
Les points sont supprimés.
 
Création d'un nouveau point:
 
▶ Procédure de création d'un point de restauration "sain" sous Vista/7 : http://www.pcentraide.com/index.php?showtopic=86401
 
Nomme-le par exemple: "Après désinfection ..." pour te rappeler.
 
========================  
 
Pour une navigation plus sûre :
 
Je ne saurais que te conseiller Firefox comme navigateur par défaut ;)
 
http://www.mozilla-europe.org/fr/firefox/
 
Addon à ajouter à firefox pour le sécuriser:
 
▶ Ici : WOT : https://addons.mozilla.org/en-US/firefox/addon/3456
▶ Explications/Demo ici : http://www.mywot.com/fr/demo
 
+ ceux-ci: http://www.malekal.com/securiser_Firefox.php  
 
========================
 
Utile, à lire absolument, quelques minutes de prévention, notamment sur le P2P et les cracks !  http://www.malekal.com/fichiers/pr [...] alware.pdf
 
Si tu n'as plus de soucis et/ou question, pour moi, c'est ok.
 
++

mood
Publicité
Posté le 11-03-2011 à 10:32:28  profilanswer
 

n°2986072
fouinardom​eo
Posté le 14-03-2011 à 03:12:32  profilanswer
 

Merci pour ton aide :) Je viens de faire ce que tu m'as indiqué désactivation/réactivation et creation d'un nouveau point de restauration.
 
Pour firefox, je l'ai, je n'utilise chrome que pour naviguer sur les forum/blogs d'infographie, etc. vu que je switch entre 3/4 pc assez souvent, j'aime bien le système de favoris partagés de chrome !

n°2986094
Profil sup​primé
Posté le 14-03-2011 à 10:46:02  answer
 

Ok pas de soucis :)
 
Bon surf et prudence sur le net :)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  Utilisation processeur en permanence par msn

 

Sujets relatifs
Backup sur serveur SFTP : quel serveur pour utilisation pro ?Fixer le temps d'utilisation d'un ordi par quelqu'un
[Résolu] Vista qui se fige après 10min-1h d'utilisation /Dell InspironURG ; changement de processeur et CM win plante
Recherche Limitation quotidienne utilisation ordinateurWindows 7 HS après changement carte mère + processeur
Svchost qui utilise 100% du processeurLien entre processeur et windows
Utilisation mise(s) en forme sur Excel ou via VBA[RESOLU] Vista me demande en permanence d'installer les pilotes...
Plus de sujets relatifs à : Utilisation processeur en permanence par msn


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR