[Résolu] Problème touchant tous les browsers

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[Résolu] Problème touchant tous les browsers

Messagepar ernie » 08 Juil 2012 23:45

Bonsoir, mon PC a dû attraper une saleté mais je ne trouve aucune information sur les symptômes que je constate.

Je suis sous Win 7 Home Premium 64 bits. J'ai les dernières versions de FF, IE et Chrome. Avira est l'antivirus. Comodo est mon firewall avec le Firewall et Defense+Alert en mode Safe. Mon PC est sans problème depuis que je l'ai, soit plus de deux ans.

Voilà ce qui se passe:

Je démarre un browser (prenons l'exemple de Firefox, idem avec IE ou Chrome). Le process démarre et la fenêtre FF apparait.

Comodo me met une alert Defense+ car FF souhaite exécuter un programme dont le nom est toujours 4 lettres (A, B, C, D, E ou F) et/ou chiffres avec l'extension tmp. Par exemple: 7C03.tmp. Ce fichier est dans C:\Users\username\AppData\Local\Temp

Si je refuse ou que j'annule l'alerte, le process s'arrête et FF est fermé.
Si j'accepte, l'alerte disparaît. FF est fonctionnel. 1-2 minutes plus tard FF se ferme.
Si je ne fais rien, l'alerte reste visible, FF est fonctionnel et 1-2 minutes plus tard FF se ferme et l'alerte disparaît.

Si je désactive Comodo avant de lancer FF, en apparence, rien ne se passe mais on voit dans le task manager que le process démarre et s'interrompt quasi instantanément. Donc Comodo permet de voir le processus "au ralenti" mais ne semble pas être la cause. Les 1-2 minutes sont probablement un timeout de la part de Comodo.

A la réouverture suivante, FF me signale que la session précédente a crashé donc ce n'est pas une fermeture propre.

Le fichier .tmp créé est très proche de l'exécutable du browser mais pas identique. Si je remplace tmp par exe, l'icône du browser apparait mais le fichier ne peut pas être exécuté en double-cliquant. Ça ressemble plus à un fichier DLL qui contient les mêmes détails que l'exécutable et c'est ce que laisse penser ProcessMonitor

Après avoir fait tourner antivirus, anti malware et compagnie (qui n'ont rien trouvé de notable) et lancé CCleaner plusieurs fois, j'ai relancé le PC et plus de problème pendant plusieurs heures. Ce soir par contre, alors que FF était ouvert depuis un long moment, ça a recommencé avec une alerte de Comodo et la fermeture de FF.

La même chose se produit avec IE et Chrome (pour Chrome ça a démarré plusieurs heures après FF et IE). Pour Firefox, démarrer seulement le profile manager provoque les mêmes effets. Enfin, j'ai testé avec Windows en Safe Mode le plus simple et c'est pareil.

Si je kill explorer.exe via le task manager et que je lance le browser via le task manager sans que explorer.exe ne tourne, tout se passe normalement. Le fichier tmp n'est pas créé et le browser tourne. Si je relance explorer.exe, le fichier tmp est créé et tout se passe comme décris au-dessus.

Si je change le nom de l'exécutable (par exemple Firefox2.exe ou Chrome2.exe), le browser se lance normalement, pas de fichier tmp et tout fonctionne bien. Idem avec l'utilisation d'une version portable, probablement pour la même raison puisque le nom de l'exécutable est différent.

A part ce que j'ai écris ci-dessus, je n'ai pas d'autre problème. J'ai rien vu de vraiment suspect dans HiJackThis ou ProcessExplorer et je n'ai pas eu de comportement à risque qui pourrait expliquer ça. Je suis en général du côté de ceux qui aident mais là, je vois pas et les symptômes semblent assez clairs que quelque chose traîne et que ça touche spécifiquement firefox.exe, chrome.exe et iexplore.exe.

Ça vous dit quelque chose ?

Merci d'avance pour vos idées !
Dernière édition par ernie le 14 Juil 2012 18:23, édité 1 fois.
Avatar de l’utilisateur
ernie
Libellulien Junior
Libellulien Junior
 
Messages: 113
Inscription: 28 Mar 2004 09:59
Localisation: Là, juste là...

Re: Problème touchant tous les browsers - Infection probable

Messagepar zaede » 09 Juil 2012 18:23

Bonjour ernie, oui ça me dit quelque chose. On va verifier

    Avant de faire quoi que soit on va commencer par un diagnostic de ton PC

    Scan ZHPDiag


    Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

    Image Scan

      Télécharge ZHPDiag (de Nicolas coolman)

    • Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
    • Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
    • Lance ZHPDiag en double cliquant sur Image présent sur ton bureau
    • Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
    • Clique sur Options Image
    • Clique sur Image
      Image
    • Clique en haut à gauche sur la loupe Image
    • Laisse le scan se dérouler.

      Image
    • Le scan terminé, clique sur la disquette Image
    • Enregistre le rapport sur le bureau.
    • Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Image Pour poster le rapport en lien utilise cet hébergeur de fichiers : Image
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Problème touchant tous les browsers - Infection probable

Messagepar ernie » 10 Juil 2012 00:58

Merci de prendre le temps de m'aider.

Voici le fichier ZHPDiag.Txt: http://cjoint.com/?3Gkb4wCwB5m

Voici aussi le log de Malwarebyte qui a détecté 4 fichiers créés il y a 3 jours donc en ligne avec le début des problèmes. Je ne les ai pour l'instant pas effacés.
http://cjoint.com/?3GkbN1F0cJY
Avatar de l’utilisateur
ernie
Libellulien Junior
Libellulien Junior
 
Messages: 113
Inscription: 28 Mar 2004 09:59
Localisation: Là, juste là...

Re: Problème touchant tous les browsers - Infection probable

Messagepar zaede » 11 Juil 2012 18:15

Re, rien de mechant

Étape 2

Suppression avec AdwCleaner


Image Télécharge AdwCleaner ( d'Xplode )
Enregistre ce fichier sur le bureau et pas ailleurs

  • Double clique sur AdwCleaner.exe qui est sur le bureau.
  • Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  • Clique sur Suppression laisse l'outil travailler
  • Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu en lien dans ta prochaine réponse.
  • Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt





- Lance MalwareByte's Anti-Malware

Mets le à jour


- Onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

- A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.


- Si MalwareByte's a détecté des infections, clique sur:

Afficher les résultat

Ensuite:

Supprimer la sélection


- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

- Le rapport peut être retrouvé sous l'onglet Rapports/logs

- Ferme MBAM en cliquant sur Quitter.



Note : MalwareByte's peut être amené à redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's


-Poste le rapport de malwarebyte's
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Problème touchant tous les browsers - Infection probable

Messagepar ernie » 12 Juil 2012 14:39

Voici les rapports AdwCleaner. Il y en a 2 car la première fois, ça a planté à la fin (bien que le rapport soit complet). Je l'ai relancé une 2e fois. C'est allé au bout et j'ai eu le rapport (complètement clean) après un reboot demandé par AdwCleaner:
http://cjoint.com/?3GmpGUQfzyj
http://cjoint.com/?3GmpHhmACLI

Voici le rapport MalwareByte's: http://cjoint.com/?3GmpIMWLNtm

Après le reboot demandé par MalwareByte's, les symptômes ont disparu !
Avatar de l’utilisateur
ernie
Libellulien Junior
Libellulien Junior
 
Messages: 113
Inscription: 28 Mar 2004 09:59
Localisation: Là, juste là...

Re: Problème touchant tous les browsers - Infection probable

Messagepar zaede » 12 Juil 2012 20:29

Bonjour ernie, c'etait le but recherché et une bonne nouvelle aussi

ESET Online Scanner

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce lien:

http://download.eset.com/special/eos/es ... er_enu.exe


- Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner.
Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
- Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
- Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"

- Lance la recherche antivirale en cliquant sur le bouton "Start":
l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
- Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
- Une nouvelle fenêtre apparaît:
clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
- Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
- Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
[*] Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Problème touchant tous les browsers - Infection probable

Messagepar ernie » 13 Juil 2012 08:45

ESET Online Scanner n'a rien trouvé.
Avatar de l’utilisateur
ernie
Libellulien Junior
Libellulien Junior
 
Messages: 113
Inscription: 28 Mar 2004 09:59
Localisation: Là, juste là...

Re: Problème touchant tous les browsers - Infection probable

Messagepar zaede » 13 Juil 2012 22:16

Bonsoir ernie, très bonne nouvelle alors

On peut passer au final en ce cas

- On va maintenant procéder au nettoyage des outils téléchargés.

- Télécharge DelFix (d'Xplode) sur ton bureau :

- Lance le et clique sur Recherche

- Le scan fini clique sur Suppression

- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.


Garde:

- MalwareByte's, l Un scan tous les dix jours après une mise à jour de l'outil aidera ton PC à rester en forme



Et maintenant je te fais le traditionnel discours de prévention et de sécurité.

- Windows Update parfaitement à jour (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, défragmentation)



Verifie si ta console Java est à jour:

Java Sun et télécharge la dernière version (si ta version actuelle n'est pas à jour)

Après installation et redémarrage (toujours si elle n'était pas à jour), va dans panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.

Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

En cas de problèmes chez Sun, tu peux aller télécharger la dernière version chez File Hippo

- Si tu considères ton problème comme résolu, édite le premier post et met [Résolu] derriere le titre
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Problème touchant tous les browsers - Infection probable

Messagepar ernie » 14 Juil 2012 18:22

Voici donc le dernier rapport: http://cjoint.com/?3GouBINLGvb

Merci pour tes conseils et MalwareByte's va devenir mon nouvel ami ! Les autres conseils sont connus mais font pas de mal. Je suis d'une manière générale très prudent et je n'ai toujours pas compris comment j'ai pu chopper ça. C'est la première fois depuis de très nombreuses années, et un comportement nettement plus risqué à l'époque...

Et évidemment, un grand merci pour m'avoir guidé dans ces opérations et avoir pris le temps de me donner ces explications détaillées. C'est avec un grand plaisir que je vais mettre résolu dans le titre du post !
Avatar de l’utilisateur
ernie
Libellulien Junior
Libellulien Junior
 
Messages: 113
Inscription: 28 Mar 2004 09:59
Localisation: Là, juste là...


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités