x

[Aide] Processus IEXPLORE.EXE qui se lance seul ! [résolu]

 
04/02/2008 19:36 #1
Bonjour tout le monde. Voilà maintenant plusieurs mois que j'essaie d'arranger mon problème. En vain. Mon problème est le suivant : lorsque j'allume mon pc , je vais voir dans mes processus , et je vois 2 IEXPLORE.EXE qui sont lancés. il y en a un qui prend +- 30 Mo et l'autre +- 10 Mo. Ca me prend donc pas mal de ram pour rien. Je pense que c'est surement quelque chose de malveillant. Je possède comme antivirus Nod32. J'ai ad-aware aussi. Je fais des analyse régulièrement,etc... mais rien n'y fais. Des fois , j'arrete les processus , mais ils reviennent tout le temps. A force d'arreter les processus IEXPLORE.EXE , il y a un moment ou ils s'en vont tout les 2. Puis quelques minutes plus tard, ils reviennent... Comment me suis-je rendu compte que j'avais ces 2 processus lancés ? Bin tout simplement parce-que lorsque j'ai voulu installer photoshop, l'installation se bloquait car il y avait soi disant des fenetre iexplore.exe lancé alors que non. Bref, tout ca pour dire que j'ai besoin d'aide pour ce probleme. J'ai restaurer mon systeme plusieurs fois , mais a chaque fois , ils reviennent meme apres formatage ! Recemment , j'ai été " hacker " , on m'a volé mon adresse e-mail. C'est pourquoi je poste ce message d'aide parce-que je me rend compte de l'ampleur du probleme. J'ai des publicités qui se lancent regulierement aussi. Voilà en gros , j'espere que vous pourrez m'aider,ca serait gentil. merci :)

VI
anonyme
Groupe :
Visiteur
Annonce
Publicité
anonyme
04/02/2008 20:16 #2
Commence par faire une analyse avec gmer pour savoir si tu as un rootkit ou autre processus sur ton PC.

Tu verras une ligne rouge apparaitre dans ce cas avec le chemin de l'endroit ou elle se trouve.
Regarde aussi du coté des modules complementaires d'internet explorer, car bien souvent les saloperies se cachent ici.

Et pour finir fais nous un log avec hijackthis

Pour Gmer:
www.gmer.net

Pour hijackthis il se trouve dans les DL du site

Et pour le reste, il y a la faq désinfection pour commencer à t'aider.
On attend ton log hijackthis pour voir si tout ce qui se lance est sain ou non (tu fais scan and save a log file)

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
14664
04/02/2008 23:44 #3
Tout d'abord , merci de vouloir bien m'aider :)

Alors voici mon rapport de hijackthis :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:35:22, on 4/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\APPS\Powercinema\PCMService.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\installer\WLSetupSvc.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Roberto\Bureau\gmer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://network.adsmarket.com/click/im ... =ctz&dp=ZMDRON_8711111122
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [EmailChecker] C:\APPS\EmailChecker\ech.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [Itch ford four knob] C:\Documents and Settings\All Users\Application Data\third lies itch ford\proc one.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [liesmedia] C:\DOCUME~1\Roberto\APPLIC~1\DUMBDE~1\4 base.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

--
End of file - 7701 bytes


En ce qui concerne gmer , il n'y a pas de " lignes rouges " qui sont apparues lors de l'analyse. Je vais lire la faq désinfection :)

VI
anonyme
Groupe :
Visiteur
05/02/2008 06:57 #4
Pour commencer ce qui est inutile car plus présent:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


Ensuite verifier à quoi correspond ces lignes:
O4 - HKLM\..\Run: [Itch ford four knob] C:\Documents and Settings\All Users\Application Data\third lies itch ford\proc one.exe
O4 - HKCU\..\Run: [liesmedia] C:\DOCUME~1\Roberto\APPLIC~1\DUMBDE~1\4 base.exe

Et puis rien de plus, ton log me semble nickel.

Et gmer donne quoi?

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
14664
05/02/2008 14:03 #5
Salut bin j'ai supprimer le fichier inutile. Mais sinon pour les choses ici :

O4 - HKLM\..\Run: [Itch ford four knob] C:\Documents and Settings\All Users\Application Data\third lies itch ford\proc one.exe
O4 - HKCU\..\Run: [liesmedia] C:\DOCUME~1\Roberto\APPLIC~1\DUMBDE~1\4 base.exe

je ne les trouve pas , quand je cherche dans C , il y a documents and settinds , all users , et application Data je ne le trouve pas le dossier la. Voila et pour lautre , je ne trouve pas " DOCUME~1 " .

Et pour gmer , il n'y a pas de probleme. Il ne trouve pas de problemes.

VI
anonyme
Groupe :
Visiteur
05/02/2008 14:32 #6
Bonjour,
j'ai repéré ce log sur le net, parfois cela fonctionne en cas de 2 IEXPLORER.EXE....c4EST ICI/
http://www.fesch.lu/Php/download.php?file=RemoveIEHelpers.zip
Essayer en tous cas, dis-nous quoi....
A+, jounino.

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
255
05/02/2008 15:37 #7
Salut jounino , j'ai essayé ton truc , il a trouvé 3 erreurs , je les ai supprimé mais les iexplore.exe sont toujours la

Et sur le passage , les IEXPLORE.EXE sont passés en iexplore.exe
ils se sont mis en minuscules apres avoir fait la maj d'internet explorer.

VI
anonyme
Groupe :
Visiteur
05/02/2008 15:46 #8
Attention,
Le processus explorer.exe est un processus générique de Windows NT/2000/XP. Il s'agit du processus gérant l'interface utilisateur (shell) ainsi que l'interface graphique de Windows (le bureau).

Le processus explorer n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.

Il s'agit d'un processus système pouvant être arrêté. Afin de relancer le processus Explorer.exe et pouvoir à nouveau utiliser l'interface graphique il suffit de lancer le gestionnaire de programmes (CTRL+ALT+SUPPR), puis de sélectionner ouvrir et de saisir explorer.exe.

Regardes bien la façon dont il est écrit et si tu constate une lenteur anormale.....
A+, jounino.

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
255
05/02/2008 15:50 #9
Non , non , je sais bien qu'il y a aussi un processus explorer.exe mais ca na rien avoir avec les iexplore.exe , ce n'est pas le meme.

VI
anonyme
Groupe :
Visiteur
05/02/2008 15:59 #10
Bon, si Gmer ne t'a rien trouvé, essaye avec "Blacklight" à télécharger ici:
ftp://ftp.f-secure.com/f-prot/tools/fsbl.exe
double-clique sur le fichier "fsbl.exe"
coche "I accept the agreement" puis clique sur le bouton "Next>"
le panneau "Step 1- Scan for hidden items" s'ouvre

Clique sur le bouton "Scan" et laisse scanner. il faut attendre un moment, àa peut être long
si il affiche "Scan complete. No hidden items found", c'est qu'il n'a rien trouvé, dans le cas contraire, fais-nous signe....
A+, jounino.

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
255
 
Publicité
Vous avez trouvé cette réponse utile ? Partagez-la !