Fenetres intempestives et iexplorer.exe qui plante

matt147 · Mai 24, 2008, 4:42

Bonjour à tous !

Voici mon problème :

Sur mon PC portable, j’ai très souvent des fenêtres intempestives qui s’ouvrent sous IE, et quand je les referme, j’ai toujours le processus iexplorer.exe de lancé. Pourtant je navigue sous Mozilla Firefox. De plus, quand j’ouvre le gestionnaire des tâches et que je termine ce processus, il se relance aussitôt

Je ne comprend vraiment pas d’où viens mon problème. Mon antivirus Antivir est à jour. Il ne détecte pas de virus. Ad-Aware et Spybot aucun spyware, et AVG anti-Rootkit aucun rootkit …
Si quelqu’un peut m’aider, c’est sans refus

Merci.
Edité le 16/06/2008 à 21:13

skhorpus · Mai 24, 2008, 5:16

Salut,

as tu fait un scan avec hijackthis? si non essaie et post le resultat

matt147 · Mai 24, 2008, 5:45

Je viens de faire un scan. Voici le résultat :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:42:47, on 24/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe”
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM…\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM…\Run: [Auto EPSON Stylus DX4800 Series sur FIXE] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P40 “Auto EPSON Stylus DX4800 Series sur FIXE” /O15 “\FIXE\EPSONSty” /M “Stylus DX4800”
O4 - HKLM…\Run: [Five 01 else bias] C:\Documents and Settings\All Users.WINDOWS\Application Data\Web Okay Five 01\Date Glue.exe
O4 - HKLM…\Run: [avgnt] “C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” /min
O4 - HKLM…\Run: [rect corn size style] C:\Documents and Settings\All Users.WINDOWS\Application Data\Bags loud rect corn\ace pop.exe
O4 - HKLM…\Run: [\FIXE\EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P33 “\FIXE\EPSON Stylus DX4800 Series” /O6 “USB001” /M “Stylus DX4800”
O4 - HKCU…\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [Wipe Software] C:\DOCUME~1\Matthieu\APPLIC~1\SETUPB~1\Phone clock.exe
O4 - HKCU…\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - Global Startup: Start AntiVir PersonalEdition Classic.lnk = C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
O4 - Global Startup: Start Firewall.lnk = C:\WINDOWS\system32\net.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - messenger.zone.msn.com…
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - messenger.zone.msn.com…
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - messenger.zone.msn.com…
O17 - HKLM\System\CCS\Services\Tcpip…{873E3969-D4CF-49C0-868C-8F009135FB01}: NameServer = 192.168.1.1
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

–
End of file - 5896 bytes

Merci de ton aide

skhorpus · Mai 24, 2008, 6:48

alors,

*relance hijackthis
*coche les cases suivantes:

O4 - HKLM…\Run: [Five 01 else bias] C:\Documents and Settings\All Users.WINDOWS\Application Data\Web Okay Five 01\Date Glue.exe

O4 - HKLM…\Run: [rect corn size style] C:\Documents and Settings\All Users.WINDOWS\Application Data\Bags loud rect corn\ace pop.exe

O4 - HKCU…\Run: [Wipe Software] C:\DOCUME~1\Matthieu\APPLIC~1\SETUPB~1\Phone clock.exe

[b]/!\ surtout, ne te trompe pas /![/b]

clic sur “fix cheked” et c’est ok .
redemarre et ce sera sans doute mieux.

afk pour le reste de la soirée , grosse fiesta en prevision. quelqu un prendra le relais si besoin
a+
Edité le 24/05/2008 à 18:55

AngeFMR · Mai 25, 2008, 12:59

Bonsoir,

A ceci, si skhorpus qui est en pleine fiesta me le permet, je rajouterais :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

ainsi que :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

Ac le même mode opératoire bien sûr : cocher > ‘fix checked’ > reboot

matt147 · Mai 25, 2008, 2:16

J’ai supprimé les données que vous m’avez dites. Pourtant, j’ai toujours deux processus iexplore.exe de lancés alors que je n’utilise pas internet explorer. L’un d’eux me prend 90% des processus…

J’ai fait un nouveau scan hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:09:15, on 25/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe”
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM…\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM…\Run: [Auto EPSON Stylus DX4800 Series sur FIXE] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P40 “Auto EPSON Stylus DX4800 Series sur FIXE” /O15 “\FIXE\EPSONSty” /M “Stylus DX4800”
O4 - HKLM…\Run: [avgnt] “C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” /min
O4 - HKLM…\Run: [\FIXE\EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P33 “\FIXE\EPSON Stylus DX4800 Series” /O6 “USB001” /M “Stylus DX4800”
O4 - HKCU…\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU…\Run: [Wipe Software] C:\DOCUME~1\Matthieu\APPLIC~1\SETUPB~1\Phone clock.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - Global Startup: Start AntiVir PersonalEdition Classic.lnk = C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
O4 - Global Startup: Start Firewall.lnk = C:\WINDOWS\system32\net.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - messenger.zone.msn.com…
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - messenger.zone.msn.com…
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - messenger.zone.msn.com…
O17 - HKLM\System\CCS\Services\Tcpip…{873E3969-D4CF-49C0-868C-8F009135FB01}: NameServer = 192.168.1.1
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

–
End of file - 4592 bytes

Merci de votre aide ; )

matt147 · Mai 25, 2008, 12:17

Je n’utilise que Firefox… déjà dit plus haut (…)

matt147 · Mai 25, 2008, 7:05

Personne n’a d’idée par rapport au dernier scan ?

skhorpus · Mai 25, 2008, 7:07

mmmmmm. un truc me chifonne …

il y a encore le

O4 - HKCU…\Run: [Wipe Software] C:\DOCUME~1\Matthieu\APPLIC~1\SETUPB~1\Phone clock.exe

etonnant. As tu bien supprimé tous ceux qui etaient notés plus haut ?

AngeFMR · Mai 25, 2008, 7:31

Peut-être que pour une meilleure suppression, il devrait passer en mode Sans Echec (F5 au démarrage) :neutre:

matt147 · Mai 25, 2008, 9:37

J’ai bien supprimé le

O4 - HKCU…\Run: [Wipe Software] C:\DOCUME~1\Matthieu\APPLIC~1\SETUPB~1\Phone clock.exe
mais il réapparait à chaque fois.

J’ai voulu le supprimer en mode sans échec, mais là il n’apparait pas …

bee_bopy · Mai 26, 2008, 12:03

Avec Gmer, il est possible de connaitre le processus parent d’un autre. En plus, il est aussi susceptible de détecter des processus malicieux. (Jamais bon de laisser des gmers rouges prendre le pouvoir).
Il faut régler les éléments à surveiller dans settings:
http://img81.imageshack.us/img81/8317/gmer1sd7.jpg
Après redémarrage, il stocke les évènements dans un fichier (gmer.log, dans le répertoire WINDOWS), lisible soit dans l’onglet “log”, soit avec un éditeur de texte. Ex:
2008-05-25 20:07:27 gmer.sys cdbxpp.exe [608]: CreateProcess C:\PROGRA~1\MOZILL~1\firefox.exe
Date et heure / gmer.sys / Nom du processus parent [et son PID] : CreateProcess / chemin du processus lancé
Ici CD Burner XP lance Firefox, suite à une demande d’aide (en ligne)
Gmer ne s’installe pas, il s’exécute directement et utilise un driver: gmer.sys
Attention: C’est aussi un “PowerFull”

bosssof74 · Mai 26, 2008, 10:49

Si tu allais faire un tour ici : www.clubic.com…

matt147 · Juin 16, 2008, 9:11

Problème résolu :

Zebulon

Merci