[Réglé]Processus iexplore.exe !

C'est surement un malware, je n'en connais pas le nom mais on va le chercher.

Je t'invite à télécharger et a utiliser ceci : Spybot Search and Destroy : http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/26157.html

N'oublie pas de me dire ce qui est trouvé par le logiciel.

As-tu téléchargé une suite ou un logiciel visant à améliorer, réparer ou protéger de quelque façon que se soit ton ordinateur ? Le nom ?

EDIT: N'est-ce pas plutôt iexplorer.exe ?

C'est vraissemblablement lié, as-tu le nom de la bannière ?
C'est en installant MSN plus Live ? (ne jamais accepter le sponsors)
-> Dans ce cas vas dans les ajouts/supressions de programme et desinstalles MSN plus live proprement, normalement ce serait bon.

Je reprends ma question plus haut : "EDIT: N'est-ce pas plutôt iexplorer.exe ?"

Autrement, Spybot patche IE et Firefox (les 70 050), il remplit en autre la liste des sites webs frauduleux et empêche les changements de configuration. On peut le configurer pour qu'il fasse de même avec le registre de windows.

-> Il faudrait que tu fasses un balayage avec le logiciel si c'est possible.

Il y en a exclusivement 2 ou ça change ?

J'ai une piste :

Sinon télécharge Hijackthis :
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis

Installe le, demarre le et fais "do a system scan only"

Coches ces lignes si elles apparaissent et clique sur "Fix checked". Redemarre.

O4 - HKLM\..\Run: [DOESFILMTITLEBOLD] C:\Documents and Settings\All Users\Application Data\warn active does film\Two Start.exe
O4 - HKCU\..\Run: [ThirdHole] C:\DOCUME~1\Sylvie\APPLIC~1\UPEACH~1\barbknobbits.exe

Autre piste: voici un utilitaire de désinfection visant un autre malware qui pourrait aussi être lié:
http://securityresponse.symantec.com/avcenter/FxBgbear.exe

Excuse moi pour tous ces scans, c'est très long à faire.

Les lignes devront seulement se ressembler, elles varient un peu selon les ordinateurs.

Si rien ne marche, refais un scan avec Hijackthis mais choisis le bouton avec "... and save a logfile", colle la totalité du rapport ici.

Et le rapport HijackThis que j'attendais ? :

Tu as apparemment fais une chose qu'il n'a pas aimé avec Hijackthis, on va le refaire mais avant :

Télécharge AVG Anti-Rootkit : http://www.clubic.com/telecharger-fiche34515-avg-anti-rootkit.html

Utilise le (incompatible Vista) et supprime tous ce qui apparait.
S'il te plait fais un screen des trouvailles et de l'endroit ou elles sont sur le disque dur.

Refais exactement ce que tu as fais avec HijackThis puis redemarre ton PC.

Rescan avec AVG Anti-Rootkit, est-ce que quelque chose a été trouvé ? Rescan avec HijackThis, les lignes apparaissent'elles encore ?

S'il y a encore un problème, n'oublie pas de me donner le rapport HijackThis.

PS: Le rapport ne logera peut être pas en entier sur un message.
PS2: Il y a une bonne raison pour ton triple message, aucun problème donc.

J'aurais aimé le rapport écrit pour le passer a l'analyseur et voir ensuite ou je dois porter mon attention ^^

https://2img.net/r/ihimizer/img185/8521/sanstitretz7.png

Il faut cliquer sur le premier cadre en fait.

C'est franchement bizarre pour AVG Anti-Rootkit, essayons avec Sophos : http://www.sophos.fr/products/free-tools/sophos-anti-rootkit.html

Bonne chance, il s'accroche à toi ce virus la !

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2
- BHO: Programme d'aide de l'Assistant de connexion Windows Live -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers
communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file
missing)
O2 - BHO: XBTP01621 Class - {9EBBE90B-282E-4c39-8A7E-120749169F0F} - C:\PROGRA~1\BEARSH~2\MediaBar.dll (file missing)
O2 - BHO: (no name) - {F0285CB0-29C7-9830-7657-9E50B2B85CF4} - C:\DOCUME~1\GUILLA~1\APPLIC~1\SOFTEX~1\Drawmeal.exe (file missing)
O3
- Toolbar: Lexmark Barre d'outils -
{1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark
Toolbar\toolband.dll (file missing)

Tu peux cocher ces lignes elles sont inutiles.

Je suppose que l'infection est liée à cette DLL :
O18 - Filter hijack: text/html - {03974811-C15F-462c-B6B0-2D2336AA57D0} - C:\WINDOWS\system32\hlwin.dll

Fais une sauvegarde, coche et supprime :

Enfin j'aimerais dans le cas ou le problème ne s'arrange pas, que tu me redonnes un rapport mais au moment ou le virus se présente, sans arrêter les processus donc.

Et bien on va demander à se cher combofix de le faire :

Télécharge le ici : http://coupeim.com/perso/ComboFix.exe

Ouvre ton bloc-notes windows, copie/colle ceci :

Code:

File::
C:\WINDOWS\system32\hlwin.dll

EDIT: Désactive d'abord le résident Avast et le Teatimer de Spybot.

Enregistre ce fichier sous le nom de CFScript.txt

Fais comme suit avec ce fichier :



Laisse faire, ça dure longtemps, souvent plus de 10 minutes.

Pour expliquer en quoi je pense que c'est ton infection (j'aurais dû le faire plus tôt..) : Ce fichier est un BHO (Browser Helper Object) d'internet explorer, ce sont des fichiers souvent visés par les virus.

Seulement ce BHO n'a pas le bon ID qui est unique et pour tous les systèmes Windows, il devrait avoir "85A77577-A8CA-41b7-AA1E-DDAD4C0B12B1" alors qu'il a "03974811-C15F-462c-B6B0-2D2336AA57D0".

ReEdit:

On va finir proprement : Ccleaner : http://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

Installe le et utilise le, il nettoiera proprement tous les fichiers inutiles de ton disque dur et toutes les clés inutiles du registre.

Le problème est-il toujours la ?

Oui ComboFix est redoutable quand on vise un fichier précis ^^ Apparemment il a aussi trouvé 2,3 saletés