Forum-seven : Communauté francaise de Windows 7

Bonjour à tous, malheureusement mon premier sujet (présentation à part) m'amène dans les contrées de la désinfection...
Alors voilà le problème, je m'amusais très bien avec seven jusqu'à ce que j'installe un logiciel pour pouvoir lire les partitions Mac (HFS/HFS+), lors de l'installation avira m'avait prévenu mais je l'ai ignoré pensant que c'était encore le blocage de "autorun.inf" (qui se fait à chaque fois qu'un disque est ouvert). Mais après avoir rencontré des problèmes, je suis aller voir les rapports avira et j'ai vu qu'en fait il avait détecté le Trojan "TR/Dldlr.Exchanger.bcu.

-J'ai désinstallé le logiciel
-J'ai fait un nettoyage avec CCleaner (pas de changement)
-Scan avec Avira antivir, AVG free scan et Malwarebyte's anti-malware mais aucun n'a trouvé quelque chose
-J'ai fait une restauration du système (mais il n'y a avait que 2 points de proposés (celui avant l'installation et celui avant la désinstallation), peut être un effet du virus
-J'ai utilisé Combofix dont j'ai un rapport.

Maintenant les problèmes persistent, je me tourne vers votre communauté et vos savoirs espérant pouvoir remettre en santé mon ordinateur.
J'ai passé ma journée d'hier et une bonne partie de la nuit à chercher un tutoriel pour se débarrasser de ce genre de trojan mais je n'ai rien trouvé de concluant à part des descriptions comme ici ou là mais sans explication ou lien pour expliquer comment s'en débarrasser. J'ai vu pas mal de tuto pour se débarrasser des "trojan downloader exchanger" (manuellement comme dans le lien "là") mais je n'ai pas les problèmes décrits (à savoir des processus dans le style "CbEvtSvc.exe"). En vain...

Mais au fait quels sont les symptômes????
-Ma machine tourne normalement, tout semble s'exécuter (internet&co) mais au ralentit, ça rame à fond, le processeur est sur-solicité.
-Au démarrage, quand rien est lancé les 2 CPUs oscillent entre 40 et 60% au lieu d'être tranquillement entre 0 et 7%
-En regardant les responsables, souvent explorer.exe bouffe 30 à 50% rien qu'à lui!! et le plus étrange c'est que beaucoup de processus sont en double et je ne me rappelle pas avoir vu ces noms en double auparavant (conhost.exe, csrss.exe, ATI2evxx.exe (mais je pense que c'est normal lui), 12svhosts! (alors qu'au repos d'habitude il y en a beaucoup moins), et WmiPrvSE.exe
-Il n'y a pas de processus au nom louche de détecté (genre CbEvtSvc.exe ou ****Svc.exe) ou de csrss.exe au mauvais endroit
-Dès que je lance un programme (ouvrir une fenêtre ou firefox), les cpus sont à 100 % et ça rame, sans qu'il y est un coupable dans le process explorer

J'ai un windows seven ultimate.

Merci de vos aides et conseils. Bon dimanche!

Bonjour
Télécharge ZHPDiag de Nicolas Coolman sur ton bureau.

Clique sur pour lancer l'installation.
Clique sur pour lancer le programme.

Sous Vista et Sept , il faut cliquer droit dessus et dans le menu contextuel sur Exécuter en tant qu'administrateur.
Clique sur pour vérifier si une mise à jour du logiciel est disponible.
Clique sur pour lancer le scan.
Clique sur quand le scan sera terminé pour mettre le rapport dans le presse-papier.

Héberge ce dernier sur Cjoint.
Poste le lien obtenu.
Referme l'outil.
Le rapport sera enregistré sur le bureau.
Envoie ton dernier rapport Combofix.

Je voudrais aussi relever deux points.
1- Combofix ne doit pas être utilisé à la légère, c'est un outil très puissant qui mal employé peut entrainer des conséquences graves.
2- CCleaner n'a jamais été un outil de désinfection et au contraire lui faire nettoyer des fichiers temporaires même malsains peut en suite gêner le nettoyage d'une infection liée à ces fichiers.

à+

Bonjour merci pour cette réponse et ces précisions. Je me doutais que CCleaner n'était pas à trop utilisé. Mais après avoir fait une dernière restauration à une date antérieure et un nettoyage, ça va beaucoup mieux mais je ne sais pas trop pourquoi.... Donc pour être sur, je veux bien continuer.
Pour combofix, je pensais que ça pouvait être utilisait juste pour faire un rapport sans rien changer. Il était tard, je m'en tire bien et ne recommencerai pas

ZHP diag txt
Combofix.txt

et voilà! Espérons qu'il n'y est rien de trop bizarre...mais je ne m'en fais pas trop car ça ne rame quasi plus (mais sans savoir pourquoi, j'aime pas ça....)

Bonjour
Lance ZHPFix
Coche les lignes suivantes
[quote][MD5.00000000000000000000000000000000] [APT] [AutoKMS] (.Pas de propriétaire.) -- C:\Windows\AutoKMS.exe (.not file.)
[HKCU\Software\PopCap]
O43 - CFD: 05/02/2011 - 15:44:54 ----D- C:\ProgramData\PopCap Games
O87 - FAEL: "TCP Query User{A7993F5D-5C9E-4A90-B456-11625EDBA9FE}C:\windows\keygen.exe" |In - Private - P6 - TRUE | .(...) -- C:\windows\keygen.exe (.not file.)
O87 - FAEL: "UDP Query User{81D32D9C-7418-4B7D-965B-5C676847346D}C:\windows\keygen.exe" |In - Private - P17 - TRUE | .(...) -- C:\windows\keygen.exe (.not file.)/quote]
Clique sur le bouton Nettoyer.
Poste le rapport.
@+

Merci de pendre le temps.
ZHPfixReport.txt
ZHPDiag.txt (diag après fix)

ça rame toujours , quand ce n'est ni explorer.exe, ni sidebar.exe c'est un svchost.exe (visible dans process explorer mais pas avec celui de windows) qui occupe 60% du cpu mais je ne sais pas comment savoir ce qui se cache derrière. J'espère que l'on va pouvoir le débusquer...

Ce qui m'énerve particulièrement, c'est qu'hier matin, tout semblait être revenu à la normale (cpu entre 0 et 6% au repos)(sans que je sache pourquoi non plus...), j'ai fait alors une sauvegarde avec l'outil de windows. Ensuite j'ai éteint pour aller sur linux et chercher comment faire une image de mon windows et de mon linux tant qu'ils vont bien pour pouvoir les réinstaller en cas de problème...(mais je n'ai pas trouvé mon bonheur, aucun live cd ne voit mon RAID 0).
J'ai alors vu le message pour ZHPfix et c'est en retournant sur seven que je fût triste de le retrouver tout ralentit...
je suppose qu'une restauration de la sauvegarde ne résoudra pas mon problème qui est réapparut sans explication?

edit: et là jeudi 17, à 20h30, le cpu est redevenu tout calme et ça rame plus, j'y comprends rien

désolé pour le double post mais je ne sais toujours pas ce que je devrai faire ensuite...merci

Bonjour
Soulseek, BitTorrent, Megakey autant de sources d'infection possibles
Tu ajoutes l'UAC désactivé pour bien laisser la main aux hackers.
Et voici un excellent cocktail pour obtenir un zombie.
Lance MBRCheck par le raccourci qui est sur ton bureau.
Sous Vista et 7, faire un clic droit sur le fichier et dans le menu contextuel cliquer sur Exécuter en tant que Administrateur
Une fenêtre noire apparaîtra.
Patiente une dizaine de secondes pour permettre à l'outil de compléter l'analyse.
Si rien n'est détecté, presse touche Entrée pour fermer l'outil
Sinon n'exécute aucune action qui pourrait être proposée.
Appuie sur la touche N puis Entrée deux fois.
Si ce message apparait : Found non-standard or infected MBR.
Des options s'afficheront, tape N pour quitter après avoir noté ce qui était affiché.
Le mieux étant une saisie d'écran.
@+

OK, j'utilise bittorent pour les isos ubuntu, tant que je ne télécharge pas autre chose, ça me parait safe, ais je tort?
Soulseek pour la musique rare et peu connue, m'est très utile, j'ai confiance car je ne pense pas qu'il y est un virus dans un fichier audio (mais c'est peut être possible).
megakey, un copain l'utilise pour supprimer les temps d'attente megaupload, mais je peux le virer s'il est vraiment dangereux.

Pour l'UAC, c'est que les messages récurents sont gênants à force. Je vais peut être le réactiver si on peut lui dire d'accepter une certaine liste de logiciel pour ne pas avoir d'avertissement à chaque fois qu'on lance un programme.

Je vais faire le test du MBR.
Mais ce qui est étrange, c'est qu'après plusieurs heures de fonctionnement tout est redevenu normal. Du coup je n'ose plus redémarrer et reste en veille. Je vais devoir quand même redémarer pour voir si les symptômes reprennent.
Est ce que c'est possible qu'au démarrage mon pc soit zombie pendant quelques temps, puis qu'ensuite ça se calme?
Est ce normal que ça puisse faire pareil même sans connexion internet? (zombie sans connection).

merci pour les conseils, j'éditerai quand j'aurai checker le MBR.

Bonjour
Attendons le résultat de MBRCheck
@+

Voilà, à priori, pas de saleté dans le MBR. il y a bien celui de 7 (qui a écrasé sans demander le grub2 d'ubuntu...).

J'aimerai bien avoir votre avis pour ma question précédente par rapport au "ça rame quand on démarre mais après plusieurs heures, ou jour, d'utilisation tout va bien, cpu très peu sollicité".
Et n y'a t'il pas des moyens d'analyse pour détecter l'ouverture "louche" de ports? et enquêter sur ce qui se passe en fonction des ports ouverts?
Merci beaucoup

edit:oops j'avais oublié le fichier text


Et je voudrais savoir ce que vous pensez du logiciel "windows worms door cleaner". Son utilisation est elle utile pour savoir si des ports "critiques" sont ouverts?