> Tous les forums > Forum Analyse de rapports et désinfection
 [El Magnifico] Ecran d'arrêt interminable / / Fenetre cmd furtiveSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
vinctarbes
  Posté le 22/12/2017 @ 16:13 
Aller en bas de la page 
Petit astucien

Bonjour

Je suis parti dans un grand nettoyage des logiciels divers sur mon portable (notamment divers jeux des enfants et autres « diverseries »...)...
SUJET 1
Depuis qqs jours j'ai remarqué qu'une fenêtre de commande apparaît et disparaît aussitôt. Parfois, quand elle est moins furtive, je lis dessus "taskagent.exe"...
Depuis ces derniers jours j'ai fait Malwarebyte et super-antispyware, et avast, et aussi CCcleaner...
ET maintenant mon écran reste noir très longtemps quand je fais l'ouverture de session après un redémarrage... (écran noir avec juste le curseur de la souris visible... !!?)
PLUS depuis hier, quand j'ai voulu redémarrer (= pour vérifier que tout est OK)... plusieurs mn affichées "arrêt en cours" => pour finir j’ai éteint avec le bouton on/off... J’ai fait redémarrer normalement... entre deux maj de Avast => j’ai fait le « Avast Cleanup Premium », il m’a dégommé tous mes points de restauration !! Sauf le dernier évidemment, où je venais de remettre le driver son depuis HP, qui avait disparu ( !!??) (Mais j’aurais voulu garder celui d’avant hier fait en manuel après avoir retiré pas mal de logiciels).
Aujourd’hui, je démarre cette procédure de vérification de ce forum (merci)... Je redémarre l’ordi pour voir, même topo qu’hier soir ( = éteint pour finir avec le bouton) / je redémarre en mode sans échec, là, pas de soucis, ma session s’ouvre rapidement, j’essaye de lancer Malwarebytes (erreur de ma part ?), il plante... Je redémarre en normal (ici l’arrêt se fait normalement)... A l’ouverture de ma session, encore Lonnnnng temps, Avast se plante et redémarre, j’essaye encore Malwarebytes => « Unable to connect the service »...
SmartScan de Avast => RAS
********************************************************************
Ci dessous rapport de ZHPDiag :

https://www.cjoint.com/c/GLwpaUirxJS
TIENS, et là pendant que les analyses se font, je me rends compte que mon lecteur de CD machine tout seul dans son coin (il est vide)...

Ci dessous Frst.txt // Addition.txt // shortcut.txt :

FRST_txt // Addition_txt // Shortcut_txt

Voilà, merci de vos aides.

Publicité
El Magnifico
 Posté le 22/12/2017 à 16:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Votre machine est infectées, je vais vous aider à la nettoyer

Votre sujet va etre transferé dans le Forum "Analyse des rapports et désinfection" plus adequat

vinctarbes
 Posté le 22/12/2017 à 17:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

OK merci

El Magnifico
 Posté le 22/12/2017 à 17:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

image



• Mon prénom est Gerard, si vous pensez que votre machine est infectée, lisez ceci: https://forum.pcastuces.com/sujet.asp?f=26&s=4

Si vous acceptez, c'est avec plaisir que nous allons commencer ensemble quelques procédures.


Il est demandé de télécharger tous les logiciels et sripts image sur le Bureau, de poster des rapports avec l'aide de CJoint, cochez Privée et 21 jours.

      => Démo animée
ICI



En cas de difficulté pour télécharger et executer les outils , désactivez l 'Antivirus et éventuellement le Filtre SmartScreen le temps des opérations
(exemples)



Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI

Tous les outils ne seront exécutés qu'une seule fois pour ne pas fausser les rapports. N'utilisez pas d'autres outils de votre propre chef !

• Questions:

      • Réalisez vous des sauvegardes image du système sur
un disque dur externe
      ainsi que les données que vous créez ?

      • Quel antivirus utilisez vous ?

      • Avez vous modifier le fichier Hosts ?

      • Utilisez vous Yahoo ?





image Pour commencer vous allez régler et créer un point de restauration système que vous nommez : Avant désinfection

Solution de repli stratégiqueimage
  • Tuto animé => ICI


Touches Windows image + R , tapez ou Copiez / Collez sysdm.cpl dans la fenêtre puis OK / Onglet protection du système / surlignez C (système) / configurer / cochez Activer la protection ( ou) Restaurer les paramètres système / mettre le curseur sur 15% / validez par OK
Puis revenir sur l'onglet protection du système surlignez C (système)/Créer/………/créer.

**********************

Vous allez supprimer ces programmes sauf votre avis contraire:

Adobe AIR

EVEREST Home Edition v2.20

Java

SUPERAntiSpyware

*************************


image

vinctarbes
 Posté le 22/12/2017 à 18:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

BONSOIR

Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI

Synchronisé je suppose que ça veut dire "connecté" avec son compte ? Alors je ne suis jamais connecté avec mon compte gmail, et chrome n'est pas mon navigateur par défaut. Sur Chrome ma page d’accueil est QWANT...

Mon navigateur par défaut est Firefox, avec LILLO en page d'acceuil..

• Réalisez vous des sauvegardes image du système sur un disque dur externe ainsi que les données que vous créez ?

Je ne fais pas de sauvegarde image système (je compte le faire, mais après...)

J'ai en place une sauvegarde journalière des fichiers (doc etc... et aussi messagerie et marque pages Firefox...) vers un DD externe branché sur la BOX (SFR), via le logiciel "Synbackfree" (sauvegarde miroir)....

• Quel antivirus utilisez vous ?

AVAST en free, mise à jour du moteur hier !!!! (de temps en temps un coup de Malwaresbyte en free...)

• Avez vous modifier le fichier Hosts ?

Je ne sais plus, çà doit être oui, manip faite il y a 3 ou 4 ans pour WampServer... A y est, j'ai retrouvé : https://forum.pcastuces.com/demarrage_tres_lent_encore__recemment_ecran_noir_tres_long-f25s70034.htm où je disais "Q6- Enfin, dernière question, d'un coté il y a des partisans de protéger le host par des déclarations d'adresses à tout va... de l'autre des partisans qu'il faut laisser vide... or j'ai Wampserver pour mon développement de site et j'ai besoin du host avec la déclaration "localhost", et une procédure installation fine de Wampserver précise que ce doit être la seule et unique dans ce fichier... ??? Je suis çà ou malekal ?", depuis elle doit encore y être !

• Utilisez vous Yahoo ?

Jamais pour ma part, mais des fois des liens entraine sur des forums de Yahoo, est ce que c'est pareil ?? Je ne pense pas. Après, d'autres fois des petites mimines se baladent sur mon clavier... Mais plus trop maintenant...

image Pour commencer vous allez régler et créer un point de restauration système que vous nommez : Avant désinfection

Solution de repli stratégiqueimage
C'est fait (mon curseur est à 7%... je l'ai laissé à çà)

Vous allez supprimer ces programmes sauf votre avis contraire:

Adobe AIR

EVEREST Home Edition v2.20

Java

SUPERAntiSpyware

C'est fait (via CCcleaner)...

Et je ne touche plus à rien en attendant... A +

pcastuces
 Posté le 22/12/2017 à 19:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Equipe PC Astuces
Bonjour,

Le sujet a été déplacé par la modération dans le forum Analyse de rapports et désinfection qui semble plus adéquat.

Vous pouvez continuer la discussion à la suite de ce message.

A bientôt.
El Magnifico
 Posté le 22/12/2017 à 19:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ok

Je reviens avec un correctif

El Magnifico
 Posté le 22/12/2017 à 19:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

On attaque dans l’ dur image


image ZHPFix (de Nicolas Coolman)

image


1) INSTALLATION de ZHPFix

Téléchargez ICI , Clic sous le compteur (bouton bleu clair) et enregistrez sur votre Bureau et pas ailleurs !. (Enregistrer sous=> bureau) Téléchargement de secours : Blog US ou ICI

• Démo animée => ICI

2) ENREGISTREMENT du scriptZHPfix pour correctif.

• Avec ce correctif nous allons effectuer un premier nettoyage

Copiez tout ceci ( commence par Script ZHPFix et fini par Fin)

Citation


Script ZHPFix
ShortcutFix
IFEOFix
SysRestore
C:\ProgramData\QuickTime
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\GreenerWeb_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\GreenerWeb_RASMANCS
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{03017AC5-38FB-45A8-B3EC-377132FE0683}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{03017AC5-38FB-45A8-B3EC-377132FE0683}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{03017AC5-38FB-45A8-B3EC-377132FE0683}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{03017AC5-38FB-45A8-B3EC-377132FE0683}
C:\Windows\System32\Tasks\{26DD3441-E002-40F4-8320-595B7C553673}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1FE1148C-36DF-47C9-8318-F3656AF86A85}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{1FE1148C-36DF-47C9-8318-F3656AF86A85}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1FE1148C-36DF-47C9-8318-F3656AF86A85}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{1FE1148C-36DF-47C9-8318-F3656AF86A85}
C:\Windows\System32\Tasks\{F7EC55E8-D8EA-454E-AF5F-66EE2D32B2BC}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{27CA6AF4-8375-41F5-899D-4680E5DF51F0}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{27CA6AF4-8375-41F5-899D-4680E5DF51F0}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{27CA6AF4-8375-41F5-899D-4680E5DF51F0}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{27CA6AF4-8375-41F5-899D-4680E5DF51F0}
C:\Windows\System32\Tasks\AVAST Software\Avast settings backup
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{30DDDCA5-C24C-44E9-846A-8446302EBA85}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{30DDDCA5-C24C-44E9-846A-8446302EBA85}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{30DDDCA5-C24C-44E9-846A-8446302EBA85}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{30DDDCA5-C24C-44E9-846A-8446302EBA85}
C:\Windows\System32\Tasks\{3FA6EB61-7FD2-41A1-99C6-B43B58A781A4}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{52986F14-B8CA-43AB-A650-20EE44E46DF6}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{52986F14-B8CA-43AB-A650-20EE44E46DF6}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{52986F14-B8CA-43AB-A650-20EE44E46DF6}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{52986F14-B8CA-43AB-A650-20EE44E46DF6}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{60795296-C5CA-409D-A5D9-21AEB4BB6CB4}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{60795296-C5CA-409D-A5D9-21AEB4BB6CB4}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{60795296-C5CA-409D-A5D9-21AEB4BB6CB4}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{60795296-C5CA-409D-A5D9-21AEB4BB6CB4}
C:\Windows\System32\Tasks\{879674EB-75A6-4577-8677-1F81027557DC}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{72E0FD4B-4858-4B2B-87AD-658D5ED356B1}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{72E0FD4B-4858-4B2B-87AD-658D5ED356B1}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{72E0FD4B-4858-4B2B-87AD-658D5ED356B1}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{72E0FD4B-4858-4B2B-87AD-658D5ED356B1}
C:\Windows\System32\Tasks\{F5027954-6460-4B09-971A-58527181A7A2}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{83BDD25A-C8EC-4107-8BF6-4625769044DE}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{83BDD25A-C8EC-4107-8BF6-4625769044DE}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{83BDD25A-C8EC-4107-8BF6-4625769044DE}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{83BDD25A-C8EC-4107-8BF6-4625769044DE}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{89BE854F-9294-47D5-B091-9F542A6604F1}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{89BE854F-9294-47D5-B091-9F542A6604F1}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{89BE854F-9294-47D5-B091-9F542A6604F1}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{89BE854F-9294-47D5-B091-9F542A6604F1}
C:\Windows\System32\Tasks\{B9A73BB5-A294-4184-A58E-E037428CB814}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8D6A5F3B-8A96-4AE1-897A-85681BD5D8D6}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{8D6A5F3B-8A96-4AE1-897A-85681BD5D8D6}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8D6A5F3B-8A96-4AE1-897A-85681BD5D8D6}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{8D6A5F3B-8A96-4AE1-897A-85681BD5D8D6}
C:\Windows\System32\Tasks\{0EA33F22-0C4E-4686-ABAA-9ACB74A168A7}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A8EAE15B-193A-4E22-A1D1-FEC4F3F265B4}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A8EAE15B-193A-4E22-A1D1-FEC4F3F265B4}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A8EAE15B-193A-4E22-A1D1-FEC4F3F265B4}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A8EAE15B-193A-4E22-A1D1-FEC4F3F265B4}
C:\Windows\System32\Tasks\{2F7E0094-197D-4179-82A0-D8BF1B275E11}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BB8A4125-45C1-4FD5-A9EF-FDC90FF35B9D}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{BB8A4125-45C1-4FD5-A9EF-FDC90FF35B9D}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BB8A4125-45C1-4FD5-A9EF-FDC90FF35B9D}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{BB8A4125-45C1-4FD5-A9EF-FDC90FF35B9D}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\mcupdate
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C5B59D7D-D914-4F3F-AECF-396AC2FEC76E}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{C5B59D7D-D914-4F3F-AECF-396AC2FEC76E}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C5B59D7D-D914-4F3F-AECF-396AC2FEC76E}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{C5B59D7D-D914-4F3F-AECF-396AC2FEC76E}
C:\Windows\System32\Tasks\{DE960929-B161-447A-9389-567483500234}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C5F03D1B-02EB-4627-B647-AC3425F69AA2}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{C5F03D1B-02EB-4627-B647-AC3425F69AA2}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C5F03D1B-02EB-4627-B647-AC3425F69AA2}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{C5F03D1B-02EB-4627-B647-AC3425F69AA2}
C:\Windows\System32\Tasks\{BE21ECA5-F4D1-4E36-85D1-E3E2C046D276}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D8E74AFA-1C59-418C-B91B-9D68C5EB6C64}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{D8E74AFA-1C59-418C-B91B-9D68C5EB6C64}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D8E74AFA-1C59-418C-B91B-9D68C5EB6C64}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{D8E74AFA-1C59-418C-B91B-9D68C5EB6C64}
C:\Windows\System32\Tasks\{6BE0EFC5-4E6F-4DDC-931D-1F49205EEF1C}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DAD3766B-17A2-4395-866D-8C4842F474DA}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{DAD3766B-17A2-4395-866D-8C4842F474DA}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DAD3766B-17A2-4395-866D-8C4842F474DA}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{DAD3766B-17A2-4395-866D-8C4842F474DA}
C:\Windows\System32\Tasks\{0406BA35-2B2B-472C-91B4-36150DBF5124}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EE78FCCE-59E6-4F42-AC6D-443C124DF5F8}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{EE78FCCE-59E6-4F42-AC6D-443C124DF5F8}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EE78FCCE-59E6-4F42-AC6D-443C124DF5F8}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{EE78FCCE-59E6-4F42-AC6D-443C124DF5F8}
C:\Windows\System32\Tasks\{0F84A2F7-30AC-4174-B48A-8757DE7408B0}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F4751B2B-E2B0-4EEB-92B9-A4C94EDC2404}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{F4751B2B-E2B0-4EEB-92B9-A4C94EDC2404}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F4751B2B-E2B0-4EEB-92B9-A4C94EDC2404}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{F4751B2B-E2B0-4EEB-92B9-A4C94EDC2404}
C:\Windows\System32\Tasks\{A823A8FF-246D-496E-8925-02EBCBB56B44}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F7FBF75D-74D6-46DE-9600-82F928BAAA66}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{F7FBF75D-74D6-46DE-9600-82F928BAAA66}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F7FBF75D-74D6-46DE-9600-82F928BAAA66}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{F7FBF75D-74D6-46DE-9600-82F928BAAA66}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\StartRecording
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:HP Officejet Pro 8500 A910 (NET) #2
[HKU\S-1-5-21-2849762768-2760983247-1507592384-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:HP Officejet Pro 8500 A910 (NET) #2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
HKLM\Software\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
HKCU\SOFTWARE\undefined
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
HKLM\Software\WOW6432Node\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA} <== Reinstall Software WinRAR32
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
HKLM\Software\WOW6432Node\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA} <== Reinstall Software WinRAR32
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
HKLM\Software\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32
[HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{740CF804-CCF6-402D-8090-0EF48F28AE1B}]:NameServer=""
[HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8B61CF4F-DE88-485C-8BF3-3101951D9579}]:DhcpNameServer=""
HKLM\SYSTEM\CurrentControlSet\Services\DEBridge
C:\Program Files\Hewlett-Packard\Drive Encryption\SbHpAuthenticatorService.exe
HKLM\SYSTEM\CurrentControlSet\Services\HpFkCryptService
C:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\ProgramData\McAfee
C:\windows\System32\drivers\RsvLock.sys
C:\windows\System32\drivers\SafeBoot.sys
C:\windows\System32\drivers\SbAlg.sys
C:\windows\System32\drivers\SbFsLock.sys
C:\windows\System32\drivers\SbHiber.sys
HKLM\SOFTWARE\Symantec
HKLM\SOFTWARE\WOW6432Node\Symantec
C:\ProgramData\Symantec
C:\Program Files (x86)\Common Files\Symantec Shared
HKLM\SOFTWARE\Yahoo
HKLM\SOFTWARE\WOW6432Node\Yahoo
EmptyCLSID
FirewallRaz
EmptyPrefetch
EmptyTemp
EmptyFlash
ProxyFix
fin




image Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager

…………………………………

3) EXECUTION du Nettoyage

Lancez ZHPFix ( clic droit en tant qu’ administrateur ) sur l'icone ZHPFix (seringue)

Cliquez sur le bouton "IMPORTER"

Si une petite fenêtre d'avertissement apparait , la supprimer, placez le curseur de la souris dans la fenetre, puis clic droit / coller => Cliquez sur OK puis sur GO

S'il est demandé "Confirmez-vous le nettoyage de ces données", accepter

S'il est demandé de redémarrer l'ordinateur, refuser sinon le script va être interrompu

…………………………………………..

Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton GO

……………………………………………

4) HEBERGEZ le rapport ZHPFixReport.txt qui se trouve sur le bureau et communiquez le lien de Cjoint dans la prochaine réponse.


      Le rapport
ZHPFix.txt
    se trouve sur le bureau


A defaut, Touches Windows + R Copier/>Coller dans la fenetre %AppData% /ZHP puis OK. dans la fentre explorateur cliquez sur ZHP

• Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque
……………………………………………

Redemarrer l‘ordinateur pour la prise en compte des modifications.

.....................................

A vous lire image

vinctarbes
 Posté le 22/12/2017 à 21:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Hello

Whaow, y'en a des tonnes !!!!!

ci dessous rapport :

Rapport ZPHfix

Au plaisir.....

Publicité
vinctarbes
 Posté le 23/12/2017 à 02:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

BON REPRENONS

Tout à l'heure (vers 22h35 et des brouettes) j'étais en train de rédiger ma réponse post-redémarrage...

Et j'ai été grossièrement interrompu par AVAST avec le message suivant (où on voit sur l'image ma réponse en cours ), soit :

Juste après cette capture d'écran, j'ai répondu OK ()... Et là, pris de cours, AVAST est parti en scan au démarrage sans crier gare... Du coup j'ai laissé faire.... Et 4 heures plus tard me voilà... (accompagné du film "Une nuit au musée" pris sur le pass cinéma de ma box pour m'accompagner ). A tout hasard, voici le txt de Avast ci joint https://www.cjoint.com/c/GLxbnBfw6BS ..... ou il n'y a rien

(fichier aswboot.txt de avast sur C:\ProgramData\AVAST Software\Avast\report...

BIS REPRENONS : JOURNAL DE BORD !!!!!

Après ZPHfix, redémarrage commandé vers 21h45 et des brouettes....

22h10 / arrêt forcé par interrupteur (écran de windows "arrêt en cours" qui n'en finit pas)

Windows redémarre... fenêtre cmd sur etc/system32 et je ne sais plus, puis ça bascule sur "Outil de Redémarrage Système"...

22h28 écran d’accueil de session... 22h29 écran noir... pas trop long...... Je vérifie que "apparemment" tout va bien. Les .exe ZPHdiag/FRST/ZPHfix ont disparus du bureau (?, pas les rapport en txt), et il y a un répertoire "Quarantine" (orthographe exacte !!!!) apparu sur le bureau, VIDE (et vraiment vide, j'affiche toujours les fichiers cachés dans mon explorateur) ! BREF, Je m'attelle à mes commentaires en réponse, et bing, , voilà l'interruption de AVAST (cf début de ce message avec l'image).

DONC APRES scan au démarrage de avast, il est 01h30 du 23 décembre (bon avant) : j'ai l'écran d'accueil de session ! (Ô joie), je rentre mon mdp...

1h30 (cf phrase précédente)

1h35 ÉCRAN NOIR QUI CONTINUE... Je tente un Ctrl+Alt+Suppr..... ET rien ne se passe.

1h45 J’avorte l'ordi avec l'interrupteur..

Et je redémarre en "mode sans échec avec réseau". Une minute après j'ai l’accueil de session qui passe assez rapidement, et me permet de faire ce magnifique message !!!! Yes

DONC,

CONCLUSION

AU SECOURS !!!!

Au plaisir !!

vinctarbes
 Posté le 23/12/2017 à 02:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

PS : Ah oui, pour faire le ZPHfix j'avais interrompu les 3 ou 4 services de AVAST jusqu'au prochain redémarrage... Je ne sais pas comment l’arrêter complètement ????

El Magnifico
 Posté le 23/12/2017 à 10:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

vinctarbes

On continue la désinfection, n'utilisez pas d'autres outils, désactivez AVAST.

ZHPCleaner
    (de Nicolas Coolman)



image


image Téléchargez (clic sur le bouton bleu en dessous du compteur) => ZHPCleaner et enregistrez sous / sur votre bureau. (Enregistrer sous => bureau) Téléchargement de secours : Blog US

Si aucun des liens ne fonctionnent utilisez cette version : ZHPCleaner

Cet outil puissant supprimera des malveillants présents dans la machine

  • Démo animée => ICI



Double cliquez sur ZHPCleaner pour l'exécuter.

Au premier lancement, cliquez sur "J'accepte" dans les conditions d'utilisation.

Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre.

  • Pour exécuter une analyse , cliquez sur le bouton "Scanner".



La fonction Scanner ne supprime aucun élément de l'ordinateur.

La fonction Scanner ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

L 'analyse s'effectue...patienter quelques minutes.

A l'issue de l'analyse qui sera indiquée dans l'interface du programme, le rapport se trouvera sur le bureau.

En cas de présence d'un proxy, un message apparaît avec la question suivante:
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy.
- Si vous n'avez pas installé de Proxy, cliquez sur "NON" pour accepter la réparation du proxy.
En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante:
- Avez-vous installé ce serveur ? suivi du nom du serveur.
- Si vous n'avez pas installé de serveur, cliquez sur "NON" pour accepter le nettoyage.



Si des détections malveillantes sont mises en évidence fermer la fenetre blanche par clic sur la croix, puis cliquer sur le bouton "Nettoyer".

La réparation s'effectue...patienter quelques minutes.

Redémarrer l' ordinateur, et le rapport s'affichera au redémarrage. Fermer le rapport.

• Le rapport ZHPCleaner.txt est présent sur le bureau, il se trouve aussi dans le dossier utilisateur=>
Touches Windows image + R , tapez ou Copiez / Collez %AppData% /ZHP puis validez par un clic sur OK

• Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque


*****************************************************************************************************

MBAR



image


Téléchargez MBAR sur votre bureau ICI

Avec cet outil nous allons vérifier de suite si un roootkit se cache dans la machine.

Démo animée ICI


Attention! MBAR doit être exécuté à partir d'un compte avec des droits d'administrateur.

· Clic droit sur le fichier téléchargé / Exécuter en tant qu' administrateur. OK, auto-extraction rapide.

· MBAR démarre. Cliquez sur "Next" pour continuer.

· Cliquez sur l'écran suivant "Update" pour obtenir les dernières définitions de logiciels malveillants. Puis sur Next

· Cochez les 3 cases – Drivers-Sectors-System

· Une fois la mise à jour terminée, sélectionnez "Scan"

· Lorsque l’ analyse est terminée et qu'aucun logiciel malveillant n'a été trouvé, sélectionnez "Exit"

· Si des logiciels malveillants ont été détectés, assurez-vous de vérifier tous les éléments et cliquez sur "Cleanup". Redémarrez votre ordinateur.

Uniquement si des malveillants ont été détectés=> Ouvrez le dossier MBAR situé sur votre bureau puis dans ce fichier => "System-log.txt" et collez le contenu des fichiers suivants dans votre prochaine réponse: "Mbar-log- {date} (xx-xx-xx) .txt"

Uniquement si des malveillants ont été détectés=>Exécutez une nouvelle analyse avec Malwarebytes Anti-Rootkit (MBAR) pour vérifier qu'aucune menace ne demeure. S'il en reste, cliquez sur le bouton de nettoyage une nouvelle fois et répétez le processus.

S’il n’y a plus rien de détectés par Malwarebytes Anti-Rootkit (MBAR), vérifiez que votre système fonctionne maintenant normalement, en s'assurant que les éléments suivants soient fonctionnels :

  • Accès à Internet

  • Mise à jour de Windows

  • Pare-feu Windows



S’il y a d'autres problèmes avec votre système, comme un problème avec l’un des éléments ci-dessus, ou n’importe quel autre problème, exécutez l'outil « FixDamage » inclus avec Malwarebytes Anti-Rootkit (MBAR), que vous trouverez dans le répertoire « Plugins », puis redémarrez l’ordinateur.

Vérifiez que votre système fonctionne désormais normalement.

Si vous rencontrez le moindre problème dans l'exécution de Malwarebytes Anti-Rootkit (MBAR), ou s’il n'a pas entièrement résolu tous les problèmes que vous avez eus, s'il vous plaît contactez le support technique.
Un journal est produit, déposé dans le répertoire où se trouve MBAR, sous le nom system-log.txt. Les analyses successives sont cumulatives.



***************************************************************************************************

ADWCleaner


image

image Téléchargez la derniere version AdwCleaner. et enregistrez le sur votre Bureau => Lien direct. (Enregistrer sous => bureau)

Adwcleaner va rechercher les Adwares

Tutoriel d’ utilisation ADWCleaner en images ( version 7.00 et +) ICI



Cliquez sur le programme pour l'exécuter.

Cliquez sur "J'accepte/I Agree" dans les conditions d'utilisation.

Cliquez sur Language, Choisir en Français, fermez le logiciel puis le réouvrir.

  • Cliquez sur Outils puis Options puis cochez : Fichiers Prefetch ; Clés Tracing ; IFEO

  • Puis dans la colonne de droite : cochez en plus de Winsock ; IEPolicies ; Policies Chrome ; Parefeu ; validez par OK



Cliquez sur Analyser pour lancer l'analyse.

Cette fonction ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

Patientez le temps de l'analyse .

Si des détections malveillantes sont mises en évidence, postez le rapport

Cliquer sur Nettoyer .

L'utilitaire va fermer tous vos programmes pendant la suppression, cliquez sur "OK"

Confirmez le redémarrage de l'ordinateur.

Au redémarrage le rapport s'ouvrira dans le bloc note.

  • Démo animée pour creer un lien avec Cjoint=> ICI



Postez le rapport .

Note : Les rapports sont stockés dans C:\AdwCleaner (ou le dossier courant) et sont nommés selon le format suivant:

  • Analyse: AdwCleaner[Sxxx].txt
  • Nettoyage: AdwCleaner[Cxxx].txt



Avec Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquez sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si l' antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (AdwCleaner.exe est sûr)

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil


***************************************************************************************************


Junkware Removal Tool



image


image Téléchargez Junkware Removal Tool et enregistrez le sur votre Bureau =>. ICI (Bouton vert de gauche)(bleepingComputer)

C' est un outil qui vous aide à supprimer les logiciels et toolbars indésirables comme Ask, Babylon, iLivid, MyWebSearch et bien d'autres....

Quittez tous les programmes ouverts et pensez à sauvegarder vos travaux en cours !

Faites un clic droit -> lancez le programme en tant qu'administrateur

L'outil de suppression va maintenant commencer son travail, appuyez sur une touche de votre clavier pour confirmer cette action.

image Soyez patient(e) car les processus peuvent prendre un certain temps en fonction des spécifications de votre système.

Si votre bureau disparaît provisoirement lors du travail de l'outil, pas de panique , c'est normal !

Junkware Removal Tool fait un nettoyage automatique et crée un point de restauration .

Lorsque le nettoyage est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, une copie se trouve aussi à proximité de Junkware Removal Tool.

Poster le rapport avec l’aide de Cjoint

***************************************************************************************************


Kaspersky Virus Removal Tool



image

  • Téléchargez sur ce site : ICI
  • A défaut sur PCA :



Cet outil recherche les Malwares

Kaspersky Virus Removal Tool ne requiert pas d'installation. Avant de lancer l'application, il est recommandé d'effectuer les opérations suivantes :

· Fermez toutes les applications en cours d'exécution.

· Assurez-vous que votre ordinateur répond à la configuration requise pour Kaspersky Virus Removal Tool.

Vous pouvez lancer l'application à partir de tout média, par exemple, à partir d'un disque amovible.

image Pour lancer l'application :


1. Double-cliquez sur le fichier téléchargé pour l'exécuter.
2. Prenez connaissance du Contrat de licence et cliquez sur le bouton Accept.
3. Patientez jusqu'à la fin de l'initialisation.
4. Maintenant vous êtes prêt à utiliser Kaspersky Virus Removal Tool.
5. Cliquer sur Start scan
6. Patientez jusqu'à la fin de l'analyse.
7. Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.
8. cliquer sur « Neutralize All » pour supprimer les éléments identifiés comme malwares ou indésirables.
9. Pour consulter les détails de l'analyse, cliquez sur le lien détails.
10. Pour quitter Kaspersky Virus Removal Tool cliquez sur le bouton Close ou sur la croix dans le coin supérieur droit de la fenêtre de l'utilitaire.

Si une infection active a été détectée, la notification Malware detected (Un programme malveillant a été détecté) sera affichée. La réparation avec le redémarrage de l'ordinateur sera lancée automatiquement dans 120 secondes après l'apparition de la notification (vous pouvez voir le compte à rebours dans le bas de la fenêtre). Si vous avez besoin de plus de temps pour enregistrer vos données et fermer les applications en cours d'exécution, cliquez sur le compte à rebours pour l'arrêter.

A vous lire image

vinctarbes
 Posté le 23/12/2017 à 11:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Hey, BONJOUR

J'hésitais ce matin à démarrer mon ordi arrêté hier en mode sans échec... Et Ô joie, j'en reviens pas, démarrage assez rapide, et après l'ouverture de session ...

Hein, quoi, ??? 1mn ........................ et çà marche, YES

Donc bon 23 décembre, je reprends toutes les manips ci dessus, et je reviens vers vous une fois tout ça fait.

Au plaisir



Modifié par vinctarbes le 23/12/2017 11:17
vinctarbes
 Posté le 23/12/2017 à 11:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Rapport_ZPHCleaner

je reviens avec la suite....

vinctarbes
 Posté le 23/12/2017 à 16:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

BON cf ci dessus ZHPCleaner ne s'est pas arrêté sur qqc, il a rien trouvé ... Par contre, j'ai fait un redémarrage après machinalement, et il a encore fallu que fasse un abort au bout de 10'...

Redémarré en windows normal, suite :MBAR n'a rien trouvé non plus. Après, vérification des points : Accès à Internet / Mise à jour de Windows / Pare-feu Windows :

tout fonctionne sauf "Mise à jour Windows". J'ai fait « FixDamage » et j'ai redémarré mon portable, là encore une fois obligé d'aborter à l'interrupteur... Redémarrage et ouverture session ensuite OK (assez rapide)

A tout hasard ci joint le rapport de MBAR : system-log.txt_20171223_13h05

J'ai tout vérifié, tout fonctionne (Firefox, Chrome, Youtube... , Lecteur WindowsMedia, messageries sous Thunderbird etc...), tout OK SAUF Mise à jour de Windows.

Cà rame, ça finit par m'afficher :

La fenêtre d'info apparait quand je clique sur "Rechercher les mises à jour". Une fois avant j'avais cliqué sur "Afficher l'historique des mises à jour" (cf dans colonne de gauche), ça a ramé, puis fenêtre toute blanche avec juste un OK en bas, quand j'ai cliqué sur ce OK, rame rame rame, et retour à la case départ (cf photo ci dessus).

DONC que fait je ??

Je refais un fix-dammage ou je continue avec les autres outils ???

Encore merci de vos lumières.

El Magnifico
 Posté le 23/12/2017 à 17:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

je connais la solution pour Windows Update

On verra ça après, pour le moment réalisez toutes les procédures demandées SVP !

vinctarbes
 Posté le 23/12/2017 à 20:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

El Magnifico , ola

Passage de adwcleaner, oups, j'ai oublié de cocher des trucs => 2 passages. Des trucs au 1er, et RAS au second malgré plus d'options cochées. Rapport :
AdwCleaner[S0] / AdwCleaner[C0] / AdwCleaner[S1]
Au redémarrage fait après le 1er passage, tout nickel (arrêt et réouverture)...

Je ne sais plus quand j'ai encore une fois longtemps (environ 1 seconde !) l'affichage de la fenêtre DOS avec "taskagent.exe" => ????

Passage de JRT => des trucs faits apparemment, rapport = JRT_txt .
NOTA : impossible de réouvrir Firefox après son passage / J'ai fait redémarrer => arrêt forcé par interrupteur en fermeture de session (bloquée, oui oui de session).
Rallumage => OK rapide

KVRT => RAS....

Je fais un "Redémarrer"... de nouveau un abort obligé à "arrêt en cours" (la session est passé sans pbm ce coup ci). Redémarrage mode normal, OK rapide, la session ouverte, mise ne place du WIFI lonnnnngue (comme tout à l'heure je sais plus quand)...


Je refais un 2ème essai de "Redémarrer"... de nouveau un abort obligé à "arrêt en cours". Redémarrage mode normal, OK rapide, la session ouverte, mise ne place du WIFI normale ce coup ci.

Tiens, à l'instant, encore un coup de fenêtre furtive...

Voilà, que fait on maintenant ?

Au plaisir

Publicité
El Magnifico
 Posté le 23/12/2017 à 20:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Contrôlez le disque dur avec crystaldiskinfo

Telecharger , puis dézipper (extraire tout) , lancer le programme (application), poster une capture de l’image obtenue.

http://www.commentcamarche.net/download/telecharger-34068243-crystaldiskinfo-portable

*********

Refaire un scan avec FRST et postez les 3 rapports



Modifié par El Magnifico le 23/12/2017 20:52
vinctarbes
 Posté le 23/12/2017 à 21:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

cristaldiskinfo.....

FRST

Ci dessous Frst.txt // Addition.txt // shortcut.txt :

FRST_txtbis // Addition_txtbis // Shortcut_txtbis

Au plaisir

El Magnifico
 Posté le 23/12/2017 à 21:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

vinctarbes

Votre disque dur rend l' âme, 131099 secteurs réalloués c'est énorme, changer le !

Sauvegardez toutes vos données et contacts sur un disque dur externe.

*********

Je vous prépare un correctif.

**************

Vous allez supprimer ces programmes

Adobe AIR

Home Edition" target="_blank">EVEREST Home Edition v2.20

Java

SUPERAntiSpyware

*************************

Voici un correctif avec FRST

J'ai introduit une correction des fichiers corrompus, ainsi que le débloquage des mises à jour, ceci va demander beaucoup de temps , laissez travailler jusqu' à l'apparition sur le bureau du rapport , possible écran noir et redémarrages.


image Ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur, si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls


ENREGISTREMENT du script FixList pour correction.


Copiez tout ceci : surlignez toutes les lignes puis un clic droit / copier, et c'est tout ! ( commence par start:: et fini par end::) Pas besoin d'enregistrer dans Word par exemple !

Citation

start::
CreateRestorePoint:
CloseProcesses:
EmptyTemp:
Hosts:
FindFolder: taskagent.exe
HKLM-x32\...\Run: [NPSStartup] => [X]
HKLM-x32\...\Run: [] => [X]
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
BootExecute: autocheck autochk * sdnclean64.exe
Tcpip\..\Interfaces\{740CF804-CCF6-402D-8090-0EF48F28AE1B}: [NameServer] 77.234.40.79
Tcpip\..\Interfaces\{8B61CF4F-DE88-485C-8BF3-3101951D9579}: [DhcpNameServer] 192.168.42.129
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-2849762768-2760983247-1507592384-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/HPCOM/9
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {8DC519B8-319D-44B3-BF7D-78FBA47609B8} URL = hxxp://www.bing.com/search?q={searchTerms}&form=CMNTDF&pc=CMNTDF&src=IE-SearchBox
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: Pas de nom -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> Pas de fichier
Toolbar: HKU\S-1-5-21-2849762768-2760983247-1507592384-1000 -> Pas de nom - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Pas de fichier
FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll [Pas de fichier]
FF Plugin: @microsoft.com/GENUINE -> disabled [Pas de fichier]
FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll [Pas de fichier]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Pas de fichier]
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.32.7\npGoogleUpdate3.dll [Pas de fichier]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.32.7\npGoogleUpdate3.dll [Pas de fichier]
CHR HKU\S-1-5-21-2849762768-2760983247-1507592384-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Vincent\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx
CHR HKU\S-1-5-21-2849762768-2760983247-1507592384-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bbjllphbppobebmjpjcijfbakobcheof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\Alwil Software\Avast5\WebRep\Chrome\aswWebRepChrome.crx
CHR HKLM-x32\...\Chrome\Extension: [jkfpchpiljkaemlpmpebnglgkomamfeo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [legfpnnmhhnhjgekmmbkilmijnjoehne] - C:\Users\Vincent\AppData\Roaming\FireShot\fireshot.crx
S3 AvastVBoxSvc; C:\Program Files\Alwil Software\Avast5\ng\vbox\AvastVBoxSVC.exe [X]
U4 eabfiltr; pas de ImagePath
S3 RimUsb; System32\Drivers\RimUsb_AMD64.sys [X]
S2 VBoxAswDrv; \??\C:\Program Files\Alwil Software\Avast5\ng\vbox\VBoxAswDrv.sys [X]
R0 SbAlg; C:\Windows\System32\Drivers\SbAlg.sys [60160 2009-06-04] (McAfee, Inc.)
R0 SbAlg; C:\Windows\SysWow64\Drivers\SbAlg.sys [51800 2010-02-01] (McAfee, Inc.)
R0 SbFsLock; C:\Windows\System32\Drivers\SbFsLock.sys [15688 2010-02-01] (McAfee, Inc.)
R0 SbFsLock; C:\Windows\SysWow64\Drivers\SbFsLock.sys [13256 2010-02-01] (McAfee, Inc.)
R0 SafeBoot; C:\Windows\SysWow64\Drivers\SafeBoot.sys [110520 2010-02-01] (McAfee, Inc.)
R1 RsvLock; C:\Windows\System32\Drivers\RsvLock.sys [58184 2010-02-01] (McAfee, Inc.)
R1 RsvLock; C:\Windows\SysWow64\Drivers\RsvLock.sys [40088 2010-02-01] (McAfee, Inc.)
R1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [14928 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [12368 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
2016-08-29 16:30 - 2016-08-29 19:08 - 000000154 _____ () C:\Users\Vincent\AppData\Roaming\Rim.Desktop.Exception.log
2016-08-29 16:11 - 2017-01-29 17:04 - 000002021 _____ () C:\Users\Vincent\AppData\Roaming\Rim.Desktop.HttpServerSetup.log
2016-08-29 16:30 - 2016-08-29 19:08 - 000000154 _____ () C:\Users\Vincent\AppData\Roaming\Rim.DesktopHelper.Exception.log
2017-12-20 19:11 - 2017-12-20 19:11 - 001712128 _____ (Microsoft Corporation) C:\Users\Vincent\AppData\Local\Temp\GdiPlus.dll
2017-12-20 19:11 - 2017-12-20 19:11 - 000245760 _____ (Samsung Electronics Co., Ltd.) C:\Users\Vincent\AppData\Local\Temp\InstallerMessageBox.exe
2017-12-20 19:11 - 2017-12-20 19:11 - 000708608 _____ (Samsung Electronics Co., Ltd.) C:\Users\Vincent\AppData\Local\Temp\NPSInstallerProxy.exe
2017-12-20 19:11 - 2017-12-20 19:11 - 000528384 _____ () C:\Users\Vincent\AppData\Local\Temp\NPSInstallerProxyMessageBoxHookDll.dll
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> Pas de fichier
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => -> Pas de fichier
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => -> Pas de fichier
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => -> Pas de fichier
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> Pas de fichier
CMD: net stop wuauserv
CMD: del %systemroot%\SoftwareDistribution\DataStore\Logs\edb.log
cmd: net start wuauserv
cmd: sfc /scannow
cmd: ipconfig /flushdns
cmd: netsh winsock reset
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
end::




Maintenant lancez FRST.exe en double cliquant dessus

Que les cases soient cochées ou non, cela n'a pas d'importance !

Collez le correctif, en plaçant la fleche dans la fenetre rectangulaire, puis clic droit/ coller

Cliquez sur CORRIGER puis validez le Disclaimer par "Ok"

image

Laissez le travailler, cela peut durer un certain temps. image

Postez le rapport Fixlog.txt quand celui ci est disponible.
Il se termine de cette manière => ==== Fin de Fixlog 15:59:05 ====



Modifié par El Magnifico le 23/12/2017 22:04
vinctarbes
 Posté le 23/12/2017 à 22:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

El Magnifico

C'est prévu ! un beau SSD de 500 Go Crucial...(déjà livré)

Justement je suis parti en grand ménage, avant de faire un clonage... Apparemment mon ménage a soulevé trop de poussière (??) Bon, c'est vrai que dernièrement je m'étais habitué à un démarrage un peu lent. Mais bon, pas la catastrophe de ces 2 derniers jours. Y aurait il une possibilité d'infection en retour suite à mes manips sur le DD de sauvegarde ?

Je m'explique, ce DD de sauvegarde était l'ancien DD système+data de mon PC fixe clamsé en 2013 (carte mère...). Il portait les DATA essentielles de la maison (+ boulot) à l'époque, synchronisées sur mon portable (cet ordi ci) à l'époque. J'ai bidouillé pour faire la partition max que je pouvais en laissant la partie W7 active (en vue d'un nouveau PC fixe, abandonné depuis), et transformé ce DD en sauvegarde sur la Box. Récemment cette partition était à saturation, impossible de réduire l'autre. J'ai bidouillé pour essayer de voir sur cette vieille partition système si j'avais encore des trucs à récupérer... Évidemment j'ai fait tout çà, en étant branché en direct par USB sur le deck de ce DD externe. J'ai abandonné l'idée de "voir" (accès non autorisé, bla bla bla). Donc formatage de cette vieille zone et extension de la zone de sauvegarde. Donc depuis mercredi, la sauvegarde DATA refonctionne, pas de soucis de ce coté là.

BREF j'en reviens à ma question. SE PEUT IL que cette vieille partition système et data m’ait infecté mon ordi quand j'ai branché le deck ?? Il avait été vacciné pourtant en 2014... Question.

Au plaisir de vous relire

vinctarbes
 Posté le 23/12/2017 à 22:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

RE

**************

Vous allez supprimer ces programmes

Adobe AIR

Home Edition" target="_blank">EVEREST Home Edition v2.20

Java

SUPERAntiSpyware

*************************

Déjà fait au démarrage de mon suivi...

Je fais le reste et je reviens...

vinctarbes
 Posté le 24/12/2017 à 00:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re bonsoir

C'est combien un certain temps, lä, ça fait 2heures que ça tourne . ? Message fait depuis mon mobile...

El Magnifico
 Posté le 24/12/2017 à 10:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

vinctarbes

C'est variable en fonction de l'état de la machine, et comme la votre n'est pas en très bon état ..................Wait end see.

Je pense que ce soir se sera bon

Labougie
 Posté le 24/12/2017 à 11:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

vinctarbes a écrit :

El Magnifico , ola


KVRT => RAS....

Je fais un "Redémarrer"... de nouveau un abort obligé à "arrêt en cours" (la session est passé sans pbm ce coup ci). Redémarrage mode normal, OK rapide, la session ouverte, mise ne place du WIFI lonnnnngue (comme tout à l'heure je sais plus quand)...


Je refais un 2ème essai de "Redémarrer"... de nouveau un abort obligé à "arrêt en cours". Redémarrage mode normal, OK rapide, la session ouverte, mise ne place du WIFI normale ce coup ci.

Tiens, à l'instant, encore un coup de fenêtre furtive...

Voilà, que fait on maintenant ?

Au plaisir

Salut,

Juste un cours passage sur ce sujet.

Peux tu expliquer plus en détails cette action?

Je refais un 2ème essai de "Redémarrer"... de nouveau un abort obligé à "arrêt en cours"

Je voudrais être certain de bien comprendre cette manipulation que tu réalises pas 2 fois consécutives.

Aussi, tu indiques que KVRT, ne trouve aucun malveillant, (c'est tout à fait possible), mais combien de minutes a t'il cherché? 15 ou 20.

Labougie

vinctarbes
 Posté le 24/12/2017 à 13:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
El Magnifico a écrit :

vinctarbes

C'est variable en fonction de l'état de la machine, et comme la votre n'est pas en très bon état ..................Wait end see.

Je pense que ce soir se sera bon

BONJOUR El Magnifico
Aujourd'hui c'est dimanche, et on est le 24 (décembre) JOYEUSES FÊTES !
GROSSE FRAYEUR cette nuit.
BON, peut être que j'ai fait une connerie ????


J'explique l'histoire : Hier soir, après la mise en route du FRST64.exe avec le script (22h13), apparamment çà tourne... Je reviens voir, y'a l'écran de veille en route (= mot windows7 en 3D), par mégarde je déplace la souris. Alors l'écran de veille disparait (c'est normal), fond bleu de windows7 avec l'information "bla bla mise en veille" (je ne sais plus du coup !) et la petite roue bleue qui tourne. Il est je sais pas, euh 22h45 peut être...

Et ça reste comme çà, je passe voir tous les 1/4h si çà bouge... non l'écran reste dans sa position "intermédaire"... Je tente un clic de souris... un échap... rien n'évolue...
A 00h25, je fais mon petit message d'info depuis mon tel (cf plus haut)...
A 01h30, je fais un shutdown...
Je rallume, horreur, blue screen fugace illisible. Après =
2 tentatives de récupération windows à la suite, infructueuses...
1 restauration, je prends celle faite par FRST, apparemment se plante (??), message d'erreur "erreur indéterminée...bla bla... (0x8000ffff)" ET çà redémarre quand même !! Ecran noir encore à l'ouverture de session (= temps mesuré raisonnable de 2-3mn). Voilà, cf image ci jointe, il est 02h45 du matin 24 décembre, joyeux noël.




REMARQUE : dans l'explorateur de fichiers il y a des répertoires avec "." (point) devant = ??? = boulot de FRST interrompu ?
NOTA : cf plus haut où je dis "y'a l'écran de veille en route" ; est ce que cela à une incidence ? = entre le boulot de FRST et le freeze de la mise en veille ???

Je vérifie rapidement, tout fonctionne (sauf toujours "W.Update"...), j'arrête les applications en cours, je ferme le capot (= mise en veille). Ce midi ré-ouverture de session OK.
Ci dessous les rapports de FRST trouvés sur le bureau :


uwzghbwcmixg_txt et Fixlog_txt
Ils sont datés tous les deux du 23/12/2017, respectivement à 22h13 pour uwzghbwcmixg.txt et à 22h14 pour Fixlog.txt .

Voili, voilou... Que dois je faire ? Je relance le script de FRST ?? (en supprimant la mise en veille de windows ??). Ou quoi ?

Merci de tes indications
Bonne journée






Modifié par vinctarbes le 24/12/2017 13:40
Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
49,90 €Microphone USB Bird UM1 à 49,90 €
Valable jusqu'au 22 Février

Amazon fait une vente flash sur le Microphone USB Bird UM1 qui passe à 49,90 € alors qu'on le trouve ailleurs à partir de 69 €. La livraison est gratuite. Le Bird UM1 est un micro de studio d'excellente qualité avec interface USB intégrée. C'est une solution idéale et tout-en-un qui évite d'avoir à acheter un préampli ou une interface audio supplémentaire.  Idéal pour le studio, YouTube ou l'animation de votre blog.


> Voir l'offre
169,99 €Lot de 2 écrans 24 pouces Samsung S24F354 (Full HD, PLS, 4 ms, FreeSync) à 169,99 €
Valable jusqu'au 22 Février

RueDuCommerce propose actuellement le lot de 2 écrans 24 pouces Samsung S24F354 à 169,99 € alors qu'on les trouve ailleurs à partir de 110 € l'unité. Ces écrans disposent d'une dalle PLS Full HD (1920x1080) et offrent un temps de réponse de 4 ms. Ils possèdent des entrées VGA et HDMI ainsi que des fonctions d'anti scintillement et anti lumière bleue.


> Voir l'offre
GratuitJeu PC Kingdom Come : Deliverance gratuit
Valable jusqu'au 20 Février

Epic Game Store offre actuellement le jeu PC Farming Simulator 19. Devenez un fermier des temps modernes et développez les activités de votre ferme, moissonnez vos récoltes et prenez soin de votre élevage, le tout dans deux énormes environnements Américain et Européen. Pour télécharger Farming Simulator 19, connectez-vous sur votre compte Epic Game Store (créez-en un gratuitement si vous n'en n'avez pas) et cliquez sur le bouton Obtenir sur la fiche du jeu. Le jeu sera ajouté définitivement à votre bibliothèque et vous pourrez le télécharger ensuite quand vous voudrez. Le jeu est classé PEGI 3.


> Voir l'offre

Sujets relatifs
[Liza33]Ecran bleu - Erreur Windows
écran bleu atikmdag.sys
[El Magnifico]écran bleu atikmdag.sys
Fenêtre au démarage
[Pierre95]du noir sur toutes mes pages web
 > Tous les forums > Forum Analyse de rapports et désinfection