[RESOLU][XINXP][VIRUS?] Bruits de clics spontanés

Mon pc semble légèrement possédé. Symptomes :

  • mes enceintes crachent spontanément des bruits de clics : celui qui accompagne une action genre précédent/suivant/parent dans l’explorateur
  • la fenêtre où je travaille est fréquemment “désactivée” (dans le sens ou tout à coup, ce n’est plus la fenêtre active, comme si j’avais cliqué à côté). Ca me sort aussi des applis plein écran (Sam&Max - Culture shock en ce moment). En bref, c’est ultra chiant !

J’ai essayé de réparer le truc moi même à grand coup de process kill et d’avg et voilà ce que ca donne :
Il y a des processus exotiques avec des noms plus ou moins aléatoires qui se promènent (genre 90exym50.8.exe ou 60exgm50pic.9.exe) quand le problème apparait. Les .exe incriminés apparaissent dans mon “doc&settings/user/localsettings/temp”. Il y a aussi des fichiers .conf qui apparaissent en même temps. Je sais pas comment trouver d’ou ils sortent.

Comment faire pour virer cette merde une bonne fois pour toute ?

Un coup de Adaware/Spybot, un bon antivirus, un antivirus online, un bootcd avec un antivirus, un format. Dans l’ordre. Ma preference va quand meme pour le format.

[quote=“PinkPanzer, post:1, topic: 33787”]Mon pc semble légèrement possédé. Symptomes :

  • mes enceintes crachent spontanément des bruits de clics : celui qui accompagne une action genre précédent/suivant/parent dans l’explorateur
  • la fenêtre où je travaille est fréquemment “désactivée” (dans le sens ou tout à coup, ce n’est plus la fenêtre active, comme si j’avais cliqué à côté). Ca me sort aussi des applis plein écran (Sam&Max - Culture shock en ce moment). En bref, c’est ultra chiant !

J’ai essayé de réparer le truc moi même à grand coup de process kill et d’avg et voilà ce que ca donne :
Il y a des processus exotiques avec des noms plus ou moins aléatoires qui se promènent (genre 90exym50.8.exe ou 60exgm50pic.9.exe) quand le problème apparait. Les .exe incriminés apparaissent dans mon “doc&settings/user/localsettings/temp”. Il y a aussi des fichiers .conf qui apparaissent en même temps. Je sais pas comment trouver d’ou ils sortent.

Comment faire pour virer cette merde une bonne fois pour toute ?[/quote]

Salut,

j’ai moi même déjà eu ce problème il y a un an à peut près. Il s’agissait en fait d’un codec exotique qui était infeccté par un virus. Celui-ci en fait contient un code qui n’était identifié ni par Adaware, spybot, ou bit defender mon antivirus Firewall à l’époque (et aujourd’hui encore d’ailleurs). Par contre ce code téléchargait les exécutables en question qui avait un nom pour le moins aléatoire composée de lettre et de chiffres et c’est eux les vrai virus. Donc effectivement à ce moment la Bit defender criait et empeché l’exécution de ces programmes et malgrès l’effacement de ceux-ci ils réapparaissaient à chaque redémarrage.
Après tout les essais possibles j’ai finalement viré Windows (inutile de reformater mais l’effacement du répertoire windows est obligatoire). J’ai du m’y reprendre à deux fois car j’ai ré-installé le codec infecté une seconde fois avant de comprendre qu’il s’agissait de lui.
Je suppose donc que tu vas devoirs toi aussi en passer par la, mais fait bien attention à ce que tu re-installes car le virus est dans un de tes fichiers que tu as deja installé. Donc je te conseille de bien procéder par étape et de verrifier après chaque install de soft non validé (non pris sur des sites officiels reconnu type drivers et autres) d’être sur que ton problème n’est pas ré apparu avant de continuer.

Bonne chance.

Merci pour l’info, ca ressemble assez au problème que j’ai.
Par contre, visiblement les executables sont pas téléchargés mais générés autrement : ils apparaissent même quand la connexion est coupée.

Il semble qu’il se passe des trucs dans le System Volume Information (a la racine du C:) mais la problème :

  • le scan en ligne Kaspersky me repere bien un trojan dedans (mais ne l’enleve pas, hein, c’est juste un scan en ligne)
  • Apres installation, kaspersky internet security ne repere rien
  • Apres désinstallation de Kaspersky et installation de NOD 32 (qui est ce qui se fait de mieux parrait il) toujours rien de repéré.

Donc plusieurs questions :

  • Kaspersky internet security est moins bien que le scan en ligne ? faut peut être que j’installe kaspersky AV à la place ? (d’autant plus que internet security est bien lourd dans son genre, enfin ca c’est subjectif)
  • Comment se fait il que NOD32 ne repère pas ce machin alors qu’il est réputé surpuissant ? faut que je le laisse tourner un moment le temps que l’analyse heuristique repère ce qui fout le boxon ?Par ailleurs, le scan de NOD 32 m’indique que beaucoup de fichiers sont “verrouillés” et qu’il n’arrive pas a les scanner. Ca veut dire quoi ? Ces fichiers ne peuvent pas être des virus ?

Je précise que les AV que j’ai utilisé sont des versions d’évaluations qui sont pleinement fonctionnelles mais limitées à 30j d’essai.

J’ai vraiment pas que ca a faire de réinstaller le système en ce moment, d’autant que si ca foire je vais l’avoir profond (stage au canada en préparation -> internet VITAL).

Je viens de remarquer un autre truc : a chaque reboot, les mises à jour automatiques de Windows sont désactivées. Je pense que c’est lié. Ca fait Tilt chez quelqu’un ?

NOD32 est très bon, mais pas forcément “le meilleur”. Les fichiers verrouillées sont souvent des archives avec un mot de passe (ou des .cab système peut-être)

Ouais, ton pc est tout verolé, et ca pourrit meme les antivirus. Bref, machine compromise, formates. Ca prend une journée a tout casser. Calcules le temps que tu perds a chercher une solution. Et si c’est un trojan, oulala, fear les fuites de numero de carte bleue, les mots de passe, etc.

YEEEEEEEEEEHA !

C’est bon j’ai trouvé ce qui foirait.
J’avais un processus windows/system/smss.exe /w qui foutait le dawaa.

Visiblement c’est lui qui, au démarrage de windows, créait les autres .exe.
Il crééait également un svchost.exe (mais dont l’utilisateur était ma session et non le syystème, ce qui n’est pas le cas des svchost réglos) dont les autres étaient des processus fils.

Je l’ai trouvé grâce à hijack this qui m’a chuchotté à l’oreille qu’il fallait le flinguer.

Depuis plus rien et les maj auto de windows ne se désactivent plus à chaque démarrage.

BONHEUR !!!