Internet Explorer "fantôme"

Réseaux & telecom Internet
1

Bonjour,

N’utilisant que Mozilla ou Chrome, j’ai depuis peu Internet Explorer qui décide de se lancer tout seul et sans raison apparente.
De plus IE n’est pas visible, il faut aller dans le gestionnaire de taches sur l’onglet processus pour le voir à l’oeuvre.

Je termine le processus, mais IE revient et utilise de la mémoire de mon pauvre ordinateur qui n’est plus tout jeune et à besoin de tout sa mémoire pour l’utilisation habituelle que j’en fais.

Je précise avoir déja ratissé le pc avec Ad-aware et A-vast sans rien déceler ou solutionner.
EDIT: j’ai fais un livescan avec nod32, cinq trojan trouvé, mais toujours le même problème.

D’avance merci de vos conseils.
Edité le 24/06/2010 à 07:09

2

:hello:

Télécharge, mets à jour Malwarebytes Anti-Malware que tu trouveras ici (pour les intimes il se nomme MBAM)

va dans l’onglet “Recherche”, coche “Exécuter un examen complet” puis “Rechercher

Sélectionnes tes disques durs puis clique sur “Lancer l’examen

A la fin du scan, clique sur Afficher les résultats , sélectionne tous les éléments trouvés puis
cliques sur Supprimer la sélection==>Important à faire

S’il t’ es demandé de redémarrer, clique sur "oui "

après la suppression de ou des infections trouvées --> poste le rapport ici

3

Bonjour Senosen et merci de prendre mon “affaire” en main.

Voici le rapport de MBAM qui hélas ne trouve aucune fichier infectés…

Malwarebytes’ Anti-Malware 1.46

Version de la base de données: 4219

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

21/06/2010 12:33:31
mbam-log-2010-06-21 (12-33-31).txt

Type d’examen: Examen complet (C:|D:|)
Elément(s) analysé(s): 210562
Temps écoulé: 2 heure(s), 13 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

4

Re,

tu n’aurais pas les mises à jour de windows qui tournent en tâche de fond ???

mets avast à jour, passe en mode sans échec , scanne ton ordi avec Avast, puis redémarre et refais un nod32 et dis nous …

5

Re,

Aucune maj de windows pour le moment, il arrive parfois qu’une page IE daigne apparaitre avec des pubs pour des sites de poker ou des sites de rencontres.

Avast dans sa derniere version, scannant en mode sans échec, n’a trouvé aucun fichier infecté. (mais j’ai pu voir que le processus iexplorer.exe se faisait ejecter tout seul, pour se réouvrir de suite après, en effet il m’affichait systématiquement à chaque lancement d’iexplorer un message mr proposant de m’en servir comme navigateur par défaut).

Et finalement Nod32 n’a rien trouvé non plus.

Je suis perplexe face à ce cas d’école…:@

6

J’ai déjà résolu plusieurs situations identiques. Fait comme suit: Télécharge Process explorer.
Extrait et exécute procexp.exe. Double-clique sur le processus de l’IE fantôme. Copie le contenu de la ligne “Command line” et poste-le. Je te dirai quoi faire après.

7

Bonsoir,

et merci de ta nouvelle proposition de soutien:

le process iexplorer.exe est ouvert deux fois, avec la même Command Line:

premier command line:

“C:\Program Files\Internet Explorer\IEXPLORE.EXE” -Embedding

deuxieme command line:

“C:\Program Files\Internet Explorer\IEXPLORE.EXE” -Embedding

A toi.

8

Pour l’instant rien d’important. C’est la ligne de commande habituel pour démarrer internet explorer. Il nous reste savoir quel est le programme qui le démarre. S’il te plait demarre encore une fois le Process explorer, vérifie que ton IE fantôme est présent, clique “File”>Save as, sauvegarde dans ton bureau, puis ouvre le fichier texte crée et poste le contenu. je vais analyser les processus et te dirai ce que tu dois faire après.

9

Pas de probleme voici la copie du texte:

Process PID CPU Private Bytes Working Set Description Company Name
System Idle Process 0 48.44 0 K 16 K
Interrupts n/a 3.13 0 K 0 K Hardware Interrupts
DPCs n/a 3.13 0 K 0 K Deferred Procedure Calls
System 4 4.69 0 K 48 K
smss.exe 628 168 K 848 K Gestionnaire de session Windows NT Microsoft Corporation
csrss.exe 684 1 688 K 7 088 K Client Server Runtime Process Microsoft Corporation
winlogon.exe 708 5 996 K 1 564 K Application d’ouverture de session Windows NT Microsoft Corporation
services.exe 728 1 420 K 29 004 K
services.exe 768 1 828 K 8 296 K Applications Services et Contrôleur Microsoft Corporation
svchost.exe 948 3 016 K 29 604 K Generic Host Process for Win32 Services Microsoft Corporation
wmiprvse.exe 2452 2 312 K 29 940 K WMI Microsoft Corporation
unsecapp.exe 3688 2 176 K 26 700 K WMI Microsoft Corporation
iexplore.exe 492 28.13 23 384 K 30 544 K Internet Explorer Microsoft Corporation
svchost.exe 1040 1 900 K 26 960 K Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1136 18 964 K 64 052 K Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1168 2 360 K 22 536 K Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1336 4 036 K 23 100 K Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1556 1 076 K 23 800 K Generic Host Process for Win32 Services Microsoft Corporation
AvastSvc.exe 1848 7.81 14 440 K 25 956 K avast! Service ALWIL Software
spoolsv.exe 296 3 400 K 31 512 K Spooler SubSystem App Microsoft Corporation
svchost.exe 496 1 240 K 24 920 K Generic Host Process for Win32 Services Microsoft Corporation
CDAC11BA.EXE 560 324 K 4 296 K Macrovision RTS Service Macrovision
CTsvcCDA.EXE 572 436 K 4 272 K Creative Service for CDROM Access Creative Technology Ltd
jqs.exe 644 7 828 K 1 392 K Java™ Quick Starter Service Sun Microsystems, Inc.
nvsvc32.exe 672 1 900 K 11 456 K NVIDIA Driver Helper Service, Version 78.01 NVIDIA Corporation
svchost.exe 1108 2 656 K 30 044 K Generic Host Process for Win32 Services Microsoft Corporation
MsPMSPSv.exe 2060 432 K 6 284 K WMDM PMSP Service Microsoft Corporation
alg.exe 2500 1 152 K 25 460 K Application Layer Gateway Service Microsoft Corporation
AAWService.exe 3524 85 928 K 28 436 K Ad-Aware Service Application Lavasoft
AAWTray.exe 184 2 340 K 25 972 K Ad-Aware Tray Application Lavasoft
lsass.exe 780 4 332 K 2 632 K LSA Shell (Export Version) Microsoft Corporation
smss.exe 556 9 992 K 41 056 K
explorer.exe 1564 21 536 K 60 048 K Explorateur Windows Microsoft Corporation
UnlockerAssistant.exe 2572 632 K 17 348 K
hpztsb10.exe 2636 1 004 K 20 812 K HP
AvastUI.exe 3052 11 364 K 39 896 K avast! Antivirus ALWIL Software
firefox.exe 3864 1.56 132 020 K 165 248 K Firefox Mozilla Corporation
thunderbird.exe 3948 35 244 K 61 616 K Mozilla Thunderbird Mozilla Corporation
procexp.exe 3648 3.13 8 128 K 48 520 K Sysinternals Process Explorer Sysinternals - www.sysinternals.com
EM_EXEC.EXE 2844 1 352 K 21 228 K Logitech Events Handler Application Logitech Inc.

10

Pendant que j’analyse, dit moi: si tu arrêtes le processus, il revient de suite ou quand tu démarres un autre programme?

11

Ça y est. Fais comme suit: Regarde la colonne “Company name” Tu verras que la plupart des processus ont Microsoft Corporation dans cette colonne. Ignore ces processus ainsi que ceux d’AVast et du navigateur que tu utilises (Firefox, je crois). les autres, tu commences en bas, par exemple, arrête le premier, et ensuite celui de l’IE fantôme (Il appartient à microsoft, mais c’est pas grave). Attends un peu, s’il revient, arrête le deuxième, puis IE, et ainsi de suite. Cette procédure nous permettra de diagnostiquer le programme qui démarre ton IE fantôme. Ça peut te prendre un peu de temps, mais c’est nécessaire.

12

Bonjour,

Premiere réponse: il revient de suite.

Deuxieme réponse: je pense avoir tué tout les processus possible, mais rien n’y fait… Je songe serieusement à aller supprimer le répertoire IE…qui est normalement desinstallé…

13

Tu peux faire ça mais ton système pourra devenir instable, car IE est utilisé pour l’accès internet du système.

Regarde dans le gestionnaire des tâches quel est l’utilisateur qui exécute le processus. Si c’est le tien, Il y a une solution radicale qui te résoudra le problème et améliorera le fonctionnement de ton système.

14

Et quelle est cette solution radicale? Elle m’intéresse au plus haut point !

15

Excuse moi mais répond d’abord à ma question sur l’utilisateur qui crée le processus, parce que s’il est un processus du système ou un service local la solution radicale ne doit pas fonctionner.

16

Très bien, dis moi donc comment j’identifie l’utilisateur, je ne le repere pas sur process explorer.

Merci

17

Excuse moi, je pensais que tu le savais. dans Process Explorer c’est la colonne “User Name” mais je crois que tu n’as pas cette colonne visible. Tu peux le voir dans le gestionnaire des tâches, colonne “Nom d’utilisateur”.

Pour mettre la colonne visible dans Process explorer, fais clic-droit sur l’entête des colonnes puis clique “Select columns”. Ajoute “User Name”
Edité le 22/06/2010 à 21:07

18

Tres bien merci: l’user name est

AUTORITE NT\SYSTEM

19

Dommage. La solution radicale ne marchera pas. C’était créer un nouvel utilisateur, te déconnecter, et connecter avec le nouveau, mais il ne doit pas marcher parce que c’est le système qui crée le processus. Télécharge Autoruns

Extrait le zip, exécute autoruns.exe, décoche toutes les lignes qui n’ont pas Microsoft dans la colonne “Publisher”, puis clique sur l’onglet “Drivers” et recoche tout. Redémarre l’ordinateur. On va diagnostiquer quel est l’origine de ton IE fantôme.
Edité le 22/06/2010 à 22:25

20

Voila qui est fait, quel est la suite du programme ^^ ?