Bonjour,
 
PC sous win XP SP3, AV Mc Afee (c'est pas moi qui ait choisi ), Windows defender, IE8 (et Firefox 3.5B), office 2003 le tout officiel et à jour. ça c'est le décor.
 
Maintenant j'ai un soucis car j'ai un processus "setup.exe" qui se lance aléatoirement (je ne sais pas d'où il sort) et qui me bloque la machine à tel point que je suis obligé de laisser le gestionnaire des tâches ouvert en permanence pour le tuer quand il se lance (sans trop tarder car il arrive aussi à freezer le gestionnaire...).
 
NB: nom de l'utilisateur correspondant au processus dans le gestionnaire: SYSTEM
 
Je ne sais pas d'où il sort. J'ai jeté un œil aux services au démarrage mais a priori je n'ai rien vu de trop bizarre. J'ai installé, maj et lancé Spybot pour voir mais ça n'a rien changé.
 
Si quelqu'un a une idée elle est bienvenue.

Personne n'a d'idée??

Salut,
 
On va désactiver ce processus pour que tu n'aies pas à le faire à chaque fois, puisqu'apparament il n'est pas nécessaire. Mais avant voyons ce que c'est.
 

• Télécharge  HijackThis ici et enregistre-le sur ton bureau
• Tout est expliqué pour bien l installer et savoir l'utiliser.
• Double-clique sur HijackThis pour l'installer sur ton PC et suis les indications en cliquant sur Suivant
• Puis, lance HijackTHis et choisi l'option "Do a system scan and save a log file"
• Enregistre le rapport en fin de scan, mais ne le poste pas directement ici car une règle du forum l'interdit. A la place, suis ce tuto pour héberger le rapport ailleurs et poste le lien qui est donné stp.

Merci.
Le résumé est là: http://www.toofiles.com/fr/oip/doc [...] kthis.html

Ok !
 
Il y a bien une infection visible dans ce rapport, cette ligne-là :
 
O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
 
Il s'agit de Kavo, c'est une infection qui se propage par supports amovibles, comme les clés USB par exemple. Suis cette procédure pour t'en débarasser et pour sécuriser ton PC, on va ensuite vacciner tes supports amovibles pour éviter une nouvelle infection :
 
• Télécharge UsbFix (de Chiquitine29 et C_XX) sur ton Bureau
• Lance l'installation avec les paramètres par défaut
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc... tout ce que tu utilises) sans les ouvrir ni aller dedans
• Fais un clic droit sur le raccourci d'UsbFix et choisis 'Exécuter en tant qu'administrateur'.
• Au menu principal, choisis l'option 1 (Recherche)
• Un rapport USBFix.txt apparaitra à la fin, poste le dans ta prochaine réponse stp
 
 
 
Il y a aussi une ligne suspecte dans ton rapport HijackThis.  
 
O4 - HKLM\..\Run: [LayoutM] KLayMgr.exe
 
Si tu ne sais pas à quoi ça correspond, je te propose de l'analyser en ligne :
 
• Rends toi sur le site http://www.virustotal.com/fr/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : KLayMgr.exe. On ne voit pas le chemin, donc n'hésite pas à faire Rechercher en tapant "KLayMgr.exe" et en cherchant dans C:\. Quand tu auras le chemin complet, navigue jusqu'au fichier et valide.
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• A la fin, copie l'adresse du rapport, puis colle la ici stp
 
Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
• Aide-toi avec la fonction Rechercher dans le menu Démarrer.

Merci beaucoup pour ton aide. Pour le moment je ne trouve "KLayMgr" nul part et je n'arrive pas à télécharger USBFix....
Je reviens dès que ça change

Alors j'ai dégoté un Klaymgr et ça a donné ça: http://www.virustotal.com/fr/anali [...] 1246369171
 
mais pour USBFIX..... Rien ne fonctionne (même http://pagesperso-orange.fr/NosTools/usbfix.html).

Ok pour le fichier.
 
Peux-tu me confirmer son emplacement exact?
 
Il arrive que certains malwares tentent de se camouffler en KLayMgr.exe avant de s'incruster dans C:\Windows\system32.
 
Celui-ci a l'air bon, mais on sait jamais.
 
Pour ce qui est de UsbFix... Hum.
 
Je viens de zipper UsBFix à ton nom (Mahieu.zip), il est uploadé sur toofiles.
 
Essaie de le télécharger ici s'il te plaît et dis-moi si ça marche.
 
Si oui, suis la procédure pour UsbFix que je t'ai donné plus haut et poste ici le rapport à la fin.

Pour Kleymgr, il est dans "C:\WINDOWS".
 
Pour ton zip: merci c'est passé direct J'ai installé (mais j'ai l'impression que McAfee a dégommé deux ou trois fichiers au passage.... Je te dis quoi quand c'est fini (pour l'(instant il fait son analyse en lignes de commande)

Ca m'a rendu ça comme copie:
 
Apu'
 

kava est mon ami?
 
Et c'est quoi ça: C:\Documents and Settings\G\Application Data\3M\PDNotes\patch.exe ??? Un reste de shareware? Pourtant je l'ai viré depuis un bail... Dossier dégagé, ce sera toujours un truc de moins...

Kava est directement lié au virus Kavo... On va le nettoyer.
 

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés, sans les ouvrir ni aller dedans
• Double clic sur le raccourci UsbFix présent sur ton bureau
• Cette fois choisi l'option 2 ( Suppression )
• Ton bureau disparaîtra et le pc redémarrera, laisse faire, c'est normal.
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

Par contre, pense à éditer ton précédent post pour enlever le rapport de USB fix, autrement les modérateurs pourraient fermer le sujet ^^'
 
L'idéal c'est de continuer à hébérger les rapports
 
Post aussi le lien vers le nouveau rapport UsbFix s'il te plaît
 
 
Ah, et effectivement tu as bien fait de virrer le Patch.exe... Il fait visiblement partie des Cracks qui sont très dangereux pour un PC...
 
 
Edit : Quelques infos sur les dangers des cracks ici

 
Merci pour les dangers des cracks
Mais celui là je ne sais honnêtemebnt pas d'où il sort car le prog 3M était un shareware de "post-it" que j'avais dû télécharger à partir d'un truc assez connu (genre 01 informatique ou un truc comme ça). Installé et viré dans les 5 minutes tellement c'était nul
 
Edit: j'applique tes derniers conseils dès que je peux mais là je dois finir un truc

Ok, j'essaie de te répondre rapidement ici dès que j'aurai ton dernier rapport

Voilà le rapport USBFix
http://www.toofiles.com/fr/oip/doc [...] sbfix.html
 
Par contre setup vient de se relancer  

Il est corriace.  
 
On va le désactiver définitivement pour éviter qu'il réapparaisse, ensuite il faudra finir le nettoyage.
 

• Va dans Démarrer -> Exécuter
• Tape msconfig et fais Ok
• Dans la fénêtre qui s'ouvrira, va dans l'onglet Démarrage
• Repère Setup.exe et décoche-le
• Fais Appliquer, ensuite Ok pour fermer la fénêtre
• Redémarre le PC

Setup.exe ne se lancera plus.
 
Si tu ne le trouves pas dans la liste, fais-moi un (ou deux) screen avec le contenu de la liste dans Démarrage et poste le lien ici après avoir hébérgé les fichiers s'il te plaît.
 

 
J'avais déjà yeuté msconfig, je viens de le refaire, et toujours pas de "setup"....
les screens:
- http://www.toofiles.com/fr/oip/ima [...] onf_1.html  
- http://www.toofiles.com/fr/oip/ima [...] onf_2.html
 

Hum, j'arrive pas à voir tes screens :
 
403 Forbidden pour les deux.
 
Essaie de les uploader à nouveau s'il te plait.
 
Assure toi d'avoir sélectionné Images sur toofiles avant de uploader.

arf
Edité

J'ai analysé toutes les lignes, il n'a pas l'air d'apparaître dans msconfig...
 
Peux-tu faire un nouveau rapport avec HijackThis s'il te plaît?
 

Yes sir, Here it is:
http://www.toofiles.com/fr/oip/doc [...] _0702.html
 

setup.exe vient de se relancer et j'ai immédiatement lancé un hidjackthis (rapport ici: http://www.toofiles.com/fr/oip/doc [...] _avec.html) et....
 
en le lisant on trouve ceci:
 
C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\Current\VIRUSCAN8600\Install\0000\setup.exe
 
Edit: j'arrive pas à l'effacer ce con (ni le dossier ni les fichiers qui sont dedans )

Re,
 
Tu as eu un super réflexe
 
Apparemment le fichier appartient à ton anti virus McAfee mais ça m'a l'air louche comme histoire.
 
C'est surtout le chemin en fait.
 
Personnellement, je te conseillerais de désinstaller McAfee et de le remplacer par AntiVir qui est gratuit et très bien.
 
Sinon, tu peux toujours faire analyser le fichier Setup.exe sur http://www.virustotal.com/fr/ avant si tu le souhaites, maintenant qu'on connait le chemin vers le fichier.
 
 
Poste le rapport ici directement si tu le fais, s'il te plaît ^^