> Tous les forums > Forum Sécurité
 Ordinateur infecté ?, rapports demandés suite blocages
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
eric revel
  Posté le 11/06/2013 @ 18:50 
Aller en bas de la page 
Petit astucien

Bonjour,

Le PC de mon fils HP sous Vista est quasi bloqué.

Il semble y avoir eu du P2P.

Il réagit partiellement et avec lenteur aux commandes.

Il m'a confié son portable pour essayer de le faire fonctionner à nouveau.

Après passages succesifs de CCleaner, Malwarebytes , défragmentation, son fonctionnement s'améliore

Je me tourne maintenant vers les experts en sécurité.

Ayant eu beaucoup de difficultés à l'activer, même en mode sans echec,j'ai pu lancer Combofix malgré tout.

Voici le rapport; merci pour les conseils à appliquer à sa lecture.

Voici le rapport Combofix :

ComboFix 13-06-08.02 - Arnaud 11/06/2013 18:09:59.1.2 - x86 MINIMAL
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1650 [GMT 2:00]
Lancé depuis: c:\users\Arnaud\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\install.exe
c:\windows\system32\roboot.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2013-05-11 au 2013-06-11 ))))))))))))))))))))))))))))))))))))
.
.
2013-06-11 16:17 . 2013-06-11 16:18 -------- d-----w- c:\users\Arnaud\AppData\Local\temp
2013-06-11 16:17 . 2013-06-11 16:17 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-06-11 14:53 . 2013-06-11 14:58 1660 ----a-w- c:\windows\system32\ASOROSet.bin
2013-06-11 14:46 . 2013-06-11 14:46 -------- d-----w- c:\users\Arnaud\AppData\Roaming\Systweak
2013-06-11 14:46 . 2013-06-11 14:46 -------- d-----w- c:\program files\RegClean Pro
2013-06-11 13:38 . 2013-06-11 13:38 -------- d-----w- c:\users\Arnaud\AppData\Roaming\Avira
2013-06-11 13:34 . 2013-06-11 13:33 84744 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2013-06-11 13:34 . 2013-06-11 13:33 37352 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2013-06-11 13:34 . 2013-06-11 13:33 135136 ----a-w- c:\windows\system32\drivers\avipbb.sys
2013-06-11 13:34 . 2013-06-11 13:34 -------- d-----w- c:\program files\Avira
2013-06-02 16:10 . 2013-06-02 16:10 4167680 ----a-w- c:\program files\GUTA15E.tmp
2013-05-26 11:03 . 2013-05-26 11:03 4167680 ----a-w- c:\program files\GUTE253.tmp
2013-05-26 10:24 . 2013-05-26 10:24 0 ----a-w- c:\program files\GUTD7C9.tmp
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-14 21:03 . 2012-06-18 17:15 693976 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-03-14 21:03 . 2011-05-15 15:25 73432 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-03-14 19:39 . 2013-03-14 19:39 94112 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2013-03-14 19:39 . 2012-07-07 08:41 861088 ----a-w- c:\windows\system32\npdeployJava1.dll
2013-03-14 19:39 . 2010-04-15 11:24 782240 ----a-w- c:\windows\system32\deployJava1.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
"Raptr"="c:\progra~1\Raptr\raptrstub.exe" [2013-01-29 55360]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"Facebook Update"="c:\users\Arnaud\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-08-29 138096]
"GarminExpressTrayApp"="c:\program files\Garmin\Express Tray\ExpressTray.exe" [2013-03-07 1099608]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-13 827392]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-10 317128]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-10-09 729088]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-09 4390912]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-04-23 176128]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-02-13 159744]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 472776]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-03-12 50696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-10-03 13826664]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"RIMBBLaunchAgent.exe"="c:\program files\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe" [2011-11-02 90448]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-11-28 59280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-12-19 41208]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-12-12 152544]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2013-06-11 345312]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2006-11-07 44128]
.
c:\users\Arnaud\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - ECACHE
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-03-14 19:22 1629648 ----a-w- c:\program files\Google\Chrome\Application\25.0.1364.172\Installer\chrmstp.exe
.
Contenu du dossier 'Tâches planifiées'
.
2013-06-11 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-18 21:03]
.
2013-03-14 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1140903818-1760982993-641765653-1000Core.job
- c:\users\Arnaud\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-08-29 20:36]
.
2013-03-14 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1140903818-1760982993-641765653-1000UA.job
- c:\users\Arnaud\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-08-29 20:36]
.
2013-06-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-08-20 20:50]
.
2013-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-08-20 20:50]
.
2012-04-17 c:\windows\Tasks\HPCeeScheduleForArnaud.job
- c:\program files\Hewlett-Packard\SDP\Ceement\HPCEE.exe [2007-05-18 12:23]
.
2013-06-11 c:\windows\Tasks\RegClean Pro.job
- c:\program files\RegClean Pro\RegCleanPro.exe [2013-06-11 14:27]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=73&bd=Pavilion&pf=laptop
uInternet Settings,ProxyOverride = *.local
IE: &Envoyer à OneNote - c:\progra~1\MICROS~3\Office14\ONBttnIE.dll/105
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.1.1 192.168.1.1
DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/4.0.3.0/GarminAxControl_32.CAB
DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} - hxxps://static.impots.gouv.fr/abos/static/securite/certdgi1_2-0.cab
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-NokiaOviSuite2 - c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe
HKCU-Run-TomTomHOME.exe - c:\program files\TomTom HOME 2\TomTomHOMERunner.exe
HKLM-Run-IS CfgWiz - c:\program files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe
HKLM-Run-ccApp - c:\program files\Common Files\Symantec Shared\ccApp.exe
SafeBoot-WudfPf
SafeBoot-WudfRd
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-06-11 18:18
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2013-06-11 18:21:10
ComboFix-quarantined-files.txt 2013-06-11 16:21
.
Avant-CF: 59 952 803 840 octets libres
Après-CF: 59 894 755 328 octets libres
.
- - End Of File - - F8CA53C0CF3C11ECBEB66B488B404A6D
1A1A06F62E891045814007163C1C76C3

La lecture de ce rapport permet-elle d'améliorer encore le fonctionnement par élimimination de "parasites" résiduels

Que faire sur ce PC maintenant?

Par avance, merci.

Bonne soirée.

Eric



Modifié par eric revel le 12/06/2013 18:13
Publicité
eric revel
 Posté le 12/06/2013 à 13:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

Ce rapport n'oriente-t-il pas vers des pistes complémentaires ?

Par avance, merci à ceux qui le consulteront.

Eric

bluefox2
 Posté le 12/06/2013 à 13:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Evasion60
 Posté le 12/06/2013 à 16:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Pour tous les lecteurs :

-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.-- Ne pas utiliser en dehors de ce cas de figure : dangereux!

/!\ La question n'est pas là, mais l'utilisation d'un tel "Outil", n'était pas obligé
Tu as pris de gros risques, car ComboFix n'est pas anodin !

Pour une meilleure réponse, clique dans ma signature Aide au diag d'un PC infecté

Reviens dans ta réponse avec les trois rapports demandés



Modifié par Evasion60 le 12/06/2013 16:54
eric revel
 Posté le 12/06/2013 à 17:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour et merci pour votre aide;

les rapports de Malwarebytes et Adwcleaner n'ont rien relevé.

Voici celui de ZHPdiag:

Fichier joint : C:UsersArnaudDesktopHPDiag.txt

Quelle pourrait être l'étape suivante ?

cordialement,

Eric



Modifié par eric revel le 12/06/2013 17:33
eric revel
 Posté le 12/06/2013 à 17:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

re bonjour,

pour être complet, voici copie du rapport d' adwcleaner:

Fichier joint : C:UsersArnaudDesktopAdwCleaner[S2] rapport 12 06 2013.txt

cordialement,

Eric



Modifié par eric revel le 12/06/2013 17:36
Evasion60
 Posté le 12/06/2013 à 18:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Télécharger => RogueKiller de Tigzy sur le bureau
(A partir d'une clé USB et d'un autre pc si le Rogue empêche l'accès au net ou en mode sans échec avec prise en charge réseau) .

Quitte tous les programmes en cours
Lance RogueKiller.exe en cliquant sur l'icône.

image

Un pre-scan va s'effectuer rapidement.
Quand il sera terminé, clique sur le bouton Scan

image

Clique sur le bouton Suppression

image

Clique sur le bouton Rapport quand le nettoyage sera terminé.

image

Envoie une copie du rapport RKreport[1].txt qui va s'afficher.
Il sera enregistré sur le bureau.

image

/!\ Si l'affichage des icônes du bureau, seulement dans ce cas, ne se fait pas correctement, clique sur le bouton Racc. RAZ

Remarque.
Il est possible de faire un don au créateur de l'outil par le bouton PayPal - Donate.

A te lire avec les deux rapports

eric revel
 Posté le 12/06/2013 à 19:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
eric revel
 Posté le 12/06/2013 à 19:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : C:UsersArnaudDesktopRKreport[2]_D_12062013_192442.txt

bonsoir,

comme demandé voici les deux rapports de rogue killer.

que faire maintenant ?

bonne soirée

Eric



Modifié par eric revel le 12/06/2013 19:29
Publicité
Evasion60
 Posté le 12/06/2013 à 19:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

eric revel a écrit :

Fichier joint : C:UsersArnaudDesktopRKreport[2]_D_12062013_192442.txt

Re

J'ai pas ce rapport
Donc il me faut le rapport de Suppression de RogueKiller
Il faut le copier/coller, dans ta prochaine réponse !

eric revel
 Posté le 12/06/2013 à 23:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir evasion 60,

celui-ci convient-il ?

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Arnaud [Droits d'admin] Mode : Suppression -- Date : 12/06/2013 19:24:42 | ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[75] : NtCreateSection @ 0x8224FFA5 -> HOOKED (Unknown @ 0x8D94F4A6) SSDT[276] : NtRequestWaitReplyPort @ 0x82262142 -> HOOKED (Unknown @ 0x8D94F4B0) SSDT[289] : NtSetContextThread @ 0x822B125F -> HOOKED (Unknown @ 0x8D94F4AB) SSDT[314] : NtSetSecurityObject @ 0x821DE027 -> HOOKED (Unknown @ 0x8D94F4B5) SSDT[332] : NtSystemDebugControl @ 0x82216EF1 -> HOOKED (Unknown @ 0x8D94F4BA) SSDT[334] : NtTerminateProcess @ 0x8220F173 -> HOOKED (Unknown @ 0x8D94F447) S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8D94F4CE) S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8D94F4D3)

¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1600BEVS-60RST0 +++++ --- User --- [MBR] b1d5529a81554458257b3d63e9a40ff1 [BSP] 072cd2d902467c31a99f25cbe67b3858 : MBR Code unknown Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 144985 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 296929395 | Size: 7640 Mo User = LL1 ... OK! User = LL2 ... OK!

Termine : << RKreport[2]_D_12062013_192442.txt >> RKreport[1]_S_12062013_192331.txt ; RKreport[2]_D_12062013_192442.txt

merci encore pour votre aide.

Cordialement.

eric

Evasion60
 Posté le 12/06/2013 à 23:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

1/
Mise à jour à effectuer
---\\ Software Update
Adobe Flash Player 11 Plugin => Adobe Systems // Contrôler la version V:11.7.700.224
Adobe Reader 9.5.5 - Français => Adobe Systems - Adobe Reader↑ // Mettre en V:11.0.03
Java 7 Update 21 => Oracle // OK

Lien =>

Adobe Reader 11.0.03
http://get.adobe.com/fr/reader/
Décocher Mc Afee Security Scan Plus , avant le téléchargement

2/
Applique ce correctif =>

Lance ZHPFix par l'icône sur le bureau, par un double clic

image

* Dans la fenêtre qui s'ouvre, valide par " OK "
Elle a été créée lors de l'installation de ZHPDiag


A l'aide de la souris (clic gauche maintenu), sélectionne et copie (clic droit/copier) le contenu de l'encadré ci-dessous

Code

P2 - FPN: [HKLM] [Adobe Reader] - (.Adobe Systems Inc. - Adobe PDF Plug-In For Firefox and Netscape "9.5.5".) -- C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-1140903818-1760982993-641765653-1000Core.job [910] => Facebook Update Task User
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-1140903818-1760982993-641765653-1000UA.job [932] => Facebook Update Task User
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\RegClean Pro.job [296] =>Rogue.RegistryPowerCleaner
[MD5.2A3FB4C98F139038E23330D2439DB8A4] [APT] [FacebookUpdateTaskUserS-1-5-21-1140903818-1760982993-641765653-1000Core] (.Facebook Inc..) -- C:\Users\Arnaud\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096]
[MD5.2A3FB4C98F139038E23330D2439DB8A4] [APT] [FacebookUpdateTaskUserS-1-5-21-1140903818-1760982993-641765653-1000UA] (.Facebook Inc..) -- C:\Users\Arnaud\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096]
[MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files\Ask.com\UpdateTask.exe (.not file.) [0] =>Toolbar.Ask
[MD5.00000000000000000000000000000000] [APT] [SmartDefrag] (...) -- C:\Program Files\IObit\IObit SmartDefrag\IObit SmartDefrag.exe (.not file.) [0] => IObit%SmartDefrag
O42 - Logiciel: Adobe Reader 9.5.5 - Français - (.Adobe Systems Incorporated.) [HKLM] -- {AC76BA86-7AD7-1036-7B44-A95000000001} => Adobe Reader 9
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {18455581-E099-4BA8-BC6B-F34B2F06600C} => Toolbar.Google
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F} => Toolbar.Google
O42 - Logiciel: RegClean Pro - (.Systweak Inc.) [HKLM] -- RegClean Pro_is1 =>Rogue.RegistryPowerCleaner
O43 - CFD: 10/01/2012 - 03:45:54 - [0,911] ----D C:\Program Files\Vuze =>P2P.Azureus
O43 - CFD: 11/06/2013 - 22:10:11 - [12,729] ----D C:\Users\Arnaud\AppData\Roaming\Azureus =>P2P.Azureus
O43 - CFD: 11/06/2013 - 16:03:36 - [1,889] ----D C:\Users\Arnaud\AppData\Roaming\uTorrent =>P2P.µTorrent
O44 - LFC:[MD5.F042EE4C8D66248D9B86DCF52ABAE416] - 11/06/2013 - 17:06:35 ---A- . (...) -- C:\WINDOWS\PEV.exe [256000] => Possible W32/Heuristic-210!Eldorado
O52 - TDSD: \drivers.desc\"l3codecp.acm"="" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Audio Layer-3 Codec for MSACM.) -- C:\WINDOWS\System32\l3codecp.acm
O61 - LFC: 11/06/2013 - 15:03:36 ---A- C:\Users\Arnaud\AppData\Roaming\uTorrent\settings.dat [16349] =>P2P.µTorrent
O61 - LFC: 11/06/2013 - 15:03:36 ---A- C:\Users\Arnaud\AppData\Roaming\uTorrent\settings.dat.old [16375] =>P2P.µTorrent
O61 - LFC: 11/06/2013 - 15:50:47 ---A- C:\Users\Arnaud\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\Partial Backups\00000001.rmx [122] =>Rogue.RegistryPowerCleaner
O61 - LFC: 11/06/2013 - 15:50:47 ---A- C:\Users\Arnaud\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\Partial Backups\00000001.rxb [580] =>Rogue.RegistryPowerCleaner
O61 - LFC: 11/06/2013 - 15:52:53 ---A- C:\Users\Arnaud\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\Partial Backups\00000002.rmx [122] =>Rogue.RegistryPowerCleaner
O61 - LFC: 11/06/2013 - 15:52:53 ---A- C:\Users\Arnaud\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\Partial Backups\00000002.rxb [11223] =>Rogue.RegistryPowerCleaner
O61 - LFC: 11/06/2013 - 15:53:16 ---A- C:\Users\Arnaud\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\ExcludeList.rcp [6] =>Rogue.RegistryPowerCleaner
O61 - LFC: 11/06/2013 - 15:53:16 ---A- C:\Users\Arnaud\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\French_rcp.dat [61994] =>Rogue.RegistryPowerCleaner
O61 - LFC: 11/06/2013 - 15:53:16 ---A- C:\Users\Arnaud\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\TempHLList.rcp [6] =>Rogue.RegistryPowerCleaner
O61 - LFC: 11/06/2013 - 15:53:16 ---A- C:\Users\Arnaud\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\results.rcp [117366] =>Rogue.RegistryPowerCleaner
O61 - LFC: 11/06/2013 - 15:53:16 ---A- C:\Users\Arnaud\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\summary2.bin [2978] =>Rogue.RegistryPowerCleaner
O87 - FAEL: "{98634C77-CA61-4D22-B601-763958FA6824}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files\Vuze\Azureus.exe (.not file.) =>P2P.Azureus
O87 - FAEL: "{DA1FEBF5-2A20-45DB-A6DA-B413EC517F37}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files\Vuze\Azureus.exe (.not file.) =>P2P.Azureus
O87 - FAEL: "{E7D9C86B-3C86-4C0D-8F14-9243340610A1}" |In - Public - P6 - TRUE | .(...) -- C:\Users\Arnaud\Desktop\Printkkey.exe (.not file.) => Fichier absent
O87 - FAEL: "{D03E01D5-2030-49FE-98F7-50F8C44F3EFA}" |In - Public - P17 - TRUE | .(...) -- C:\Users\Arnaud\Desktop\Printkkey.exe (.not file.) => Fichier absent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}] =>Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}] =>Toolbar.Agent
[HKLM\Software\Classes\CLSID\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}] =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}] =>Toolbar.Agent
[HKLM\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib] =>Toolbar.Conduit
O90 - PUC: "68AB67CA7DA76301B7449A0500000010" . (.Adobe Reader 9.5.5 - Français.) -- C:\Windows\Installer\{AC76BA86-7AD7-1036-7B44-A95000000001}\SC_Reader.ico => Adobe Reader 9
EmptyCLSID
Emptytemp
EmptyFlash


Clique sur le bouton Presse-papier encadré en rouge sur l'image.


Les lignes contenues dans le presse-papier vont s'afficher.

Clique sur le bouton GO en bas à gauche.

Note: Si l'UAC est active, après le clic sur "GO", un message va apparaître du style "Voulez-vous autoriser le programme...." qu'il faudra valider :Puis ZHPFix se relance, il faudra à nouveau cliquer sur le bouton "Presse-papier" pour coller les lignes, puis sur le bouton "GO"

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil (en haut à doite).

* Le rapport se trouve aussi à cet emplacement => C:\ZHP\ZHPFix.txt
Poste son rapport



image




3/
Passe ce scanner en ligne =>

  • Télécharge => (de ESET) sur ton bureau
    http://download.eset.com/special/eos/esetsmartinstaller_fra.exe
  • Lance ESET Online Scanner, exécuter en tant qu'administrateur sous Windows Vista, Win7/8
  • Coche "Oui, j'accepte les condiftions d'utilisation"
  • Clic sur Démarrer
  • Laisse cocher la case "Supprimer menaces détectés"
  • Coche "Analyser les archives"

    Note : Tout les éléments néfastes seront supprimés automatiquement

  • Si aucune menace n'est détectée :
    • Dit le moi simplement dans ta réponse.
  • Si des menaces sont détectés :
    • Clique sur "Liste des menaces détectées"
    • Clique sur Exporter vers ...
    • Copie et colle le contenue du rapport sur le forum


Image

Reviens dans ta réponse avec les rapports de ZHPFix & celui du scanner

eric revel
 Posté le 13/06/2013 à 16:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Evasion 60.

Merci pour cette réponse très rapide et tardive dans la soirée (désolé pour le dérangement).

J'ai pu obtenir le rapport ZHPFix, mais le notebook s'est figé deux fois au bout d'une heure environ , soit à 31%, lors du scan d'ESET sans qu'il ait détecté de menaces à ce stade. Je crains qu'il y ait un autre problème ( matériel ?) en plus.

il s'agit d'un HP Pavilion dv6500 avec pentium double coeur (T2310) d'il y a environ 6 ans.

voici le rapport ZHPFix:

Rapport de ZHPFix 2013.6.4.1 par Nicolas Coolman, Update du 04/06/2013 Fichier d'export Registre : Run by Arnaud at 13/06/2013 13:07:31 High Elevated Privileges : OK Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

Corbeille vidée

========== Logiciel(s) ========== ABSENT Software Key: {AC76BA86-7AD7-1036-7B44-A95000000001} SUPPRIME Google Toolbar for Internet Explorer ABSENT Uninstall Process: c:\program files\regclean pro\unins000.exe

========== Processus mémoire ========== SUPPRIME Memory Process: C:\Users\Arnaud\AppData\Local\Facebook\Update\FacebookUpdate.exe

========== Clé(s) du Registre ========== SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{18455581-E099-4BA8-BC6B-F34B2F06600C}] SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RegClean Pro_is1] SUPPRIME Key: Mozilla Plugin: Adobe Reader SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8} SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8} SUPPRIME Key: HKLM\Software\Classes\CLSID\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8} SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8} SUPPRIME Key: HKLM\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib ABSENT Key: \Software\Classes\Installer\Products\\68AB67CA7DA76301B7449A0500000010

========== Valeur(s) du Registre ========== SUPPRIME TDSD Value: l3codecp.acm SUPPRIME {98634C77-CA61-4D22-B601-763958FA6824} SUPPRIME {DA1FEBF5-2A20-45DB-A6DA-B413EC517F37} SUPPRIME {E7D9C86B-3C86-4C0D-8F14-9243340610A1} SUPPRIME {D03E01D5-2030-49FE-98F7-50F8C44F3EFA}

========== Dossier(s) ========== Aucun dossiers CLSID Local utilisateur vide SUPPRIME Temporaires Windows SUPPRIME Flash Cookies

========== Fichier(s) ========== ABSENT File: c:\program files\adobe\reader 9.0\reader\air\nppdf32.dll SUPPRIME File: c:\windows\tasks\facebookupdatetaskusers-1-5-21-1140903818-1760982993-641765653-1000core.job SUPPRIME File: c:\windows\tasks\facebookupdatetaskusers-1-5-21-1140903818-1760982993-641765653-1000ua.job SUPPRIME File: c:\windows\tasks\regclean pro.job SUPPRIME File: c:\users\arnaud\appdata\local\facebook\update\facebookupdate.exe ABSENT Folder/File: c:\users\arnaud\appdata\local\facebook\update\facebookupdate.exe SUPPRIME File: c:\windows\pev.exe SUPPRIME Reboot c:\windows\system32\l3codecp.acm ABSENT File: c:\users\arnaud\appdata\roaming\utorrent\settings.dat SUPPRIME File: c:\users\arnaud\appdata\roaming\systweak\regclean pro\version 6.1\partial backups\00000001.rmx SUPPRIME File: c:\users\arnaud\appdata\roaming\systweak\regclean pro\version 6.1\partial backups\00000001.rxb SUPPRIME File: c:\users\arnaud\appdata\roaming\systweak\regclean pro\version 6.1\partial backups\00000002.rmx SUPPRIME File: c:\users\arnaud\appdata\roaming\systweak\regclean pro\version 6.1\partial backups\00000002.rxb SUPPRIME File: c:\users\arnaud\appdata\roaming\systweak\regclean pro\version 6.1\excludelist.rcp SUPPRIME File: c:\users\arnaud\appdata\roaming\systweak\regclean pro\version 6.1\french_rcp.dat SUPPRIME File: c:\users\arnaud\appdata\roaming\systweak\regclean pro\version 6.1\temphllist.rcp SUPPRIME File: c:\users\arnaud\appdata\roaming\systweak\regclean pro\version 6.1\results.rcp SUPPRIME File: c:\users\arnaud\appdata\roaming\systweak\regclean pro\version 6.1\summary2.bin SUPPRIME Temporaires Windows SUPPRIME Flash Cookies

========== Tache planifiée ========== SUPPRIME Task: FacebookUpdateTaskUserS-1-5-21-1140903818-1760982993-641765653-1000Core SUPPRIME Task: FacebookUpdateTaskUserS-1-5-21-1140903818-1760982993-641765653-1000UA SUPPRIME Task: Scheduled Update for Ask Toolbar SUPPRIME Task: SmartDefrag

========== Récapitulatif ========== 1 : Processus mémoire 9 : Clé(s) du Registre 5 : Valeur(s) du Registre 3 : Dossier(s) 20 : Fichier(s) 3 : Logiciel(s) 4 : Tache planifiée

End of clean in 00mn 38s

========== Chemin de fichier rapport ========== C:\ZHP\ZHPFix[R1].txt - 13/06/2013 12:04:20 [435] C:\ZHP\ZHPFix[R2].txt - 13/06/2013 13:07:32 [4212]

J'espère qu'il vous sera utile.

Encore merci.

Je vais tenter un nouveau scan ESET, lorsque la machine sera moins chaude.

cordialement.

Eric



Modifié par eric revel le 13/06/2013 16:29
Evasion60
 Posté le 13/06/2013 à 16:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

... Je vais tenter un nouveau scan ESET, lorsque la machine sera moins chaude....

Tu devrais nettoyer ce portable !
tu dois être au "taquet" en terme de températures

Télécharge ce petit utilitaire =>
Speccy
http://www.filehippo.com/fr/download_speccy

Fait une copie d’écran des températures système

Nota =>
Pour faire une copie d'écran pour le forum, voir ma signature


Poste la dans ta prochaine réponse



Modifié par Evasion60 le 13/06/2013 16:56
eric revel
 Posté le 13/06/2013 à 19:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir,

Après un soufflage à la bombe à air et l'installation de Speccy (très intéressant), j'ai relancé ESET ( à 51800 fichiers analysés et 31 %: pas de menaces identifiées.

Amélioration : le blocage( y compris Alt+Ctrl+Supp sans aucun effet sur la machine) s'est produit à 1h 14 vs 50/55 minutes avant.

Pas de posibilité de copie d'écran.

Les températures étaient relativement stables:Proceseur (Pentium T2310 1,46 Ghz): 57 °C ; carte mère ( Quanta 30D2: 61 °C; Disque Dur ( WD): 47 °C..

Autrement, avant gel du système, le fonctionnement et les affichages sont normaux.

Peut-on progresser ou l'état du "malade" annonce une fin prochaine ?

Merci encore pour l'assistance attentive.

Cordialement.

Eric

Evasion60
 Posté le 13/06/2013 à 20:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Autrement, avant gel du système, le fonctionnement et les affichages sont normaux.
Peut-on progresser ou l'état du "malade" annonce une fin prochaine ?


Donc, quand il chauffe, il se coupe tjrs ?
Le scan ESET va t il jusqu'au bout ?

eric revel
 Posté le 13/06/2013 à 20:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir,

J'imagine que quand il se bloque totalement, y compris l'horloge, mais sauf le pointeur, c'est à cause de la chaleur ( un peu au dessus de 60°C). A force les éléments de la carte-mère ont peut-être été fragilisés.

Cependant, j'ai passé de l'air par les grilles d'aération ( avec de la poussière qui sortait) assez largement; je ne sais pas quoi faire pour le dépoussièrer plus.

Le scan d'Eset s'arrète toujours à 31% et environ 50 000 fichiers, mais sans alertes.

Bonne soirée

Publicité
Evasion60
 Posté le 13/06/2013 à 21:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Cependant, j'ai passé de l'air par les grilles d'aération ( avec de la poussière qui sortait) assez largement; je ne sais pas quoi faire pour le dépoussièrer plus.

Un portable n'est pas à démonter par un "novice" ou une personne qui ne connaît pas la marque et le type du portable
Chaque machine est différente
Si la machine n'est pas trop vielle, c'est direct SAV !

Désolé, je ne peux rien de plus pour toi

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
324,55 €SSD SanDisk Ultra 3D 4 To à 324,55 € livré
Valable jusqu'au 21 Avril

Amazon Allemagne fait une belle promotion sur le SSD SanDisk Ultra 3D d'une capacité de 4 To qui passe à 3109,96 €. Comptez 4,59 € pour la livraison en France soit unt toal de 324,55 € livré. On le trouve ailleurs autour de 450 €. Une bonne affaire pour ce SSD performant qui offre des débits de 560 Mo/s en lecture et 530 Mo/s en écriture. Cette version est garantie 3 ans.

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre
Gratuit3 mois d'abonnement à Amazon Music Unlimited gratuits
Valable jusqu'au 26 Mai

Amazon vous permet d'essayer son service de streaming musical pendant 3 mois gratuitement. Avec Amazon Music Unlimited, accédez à plus de 50 millions de titres, sans publicité et en illimité sur tous vos appareils : smartphone, tablette, PC/Mac, Fire, Alexa. Vous avez même la possibilité de télécharger vos playlists pour des écoutes hors connexion. A la fin de ces 3 mois, vous pourrez basculer vers l'offre payante à 9,99 € / mois ou bien arrêter sans frais le service. A noter l'existence d'une offre famille à 14,99 € / mois qui permet jusqu'à 6 utilisateurs d'écouter leur musique à tout moment et sur leurs appareils préférés. Vous pouvez annuler l'abonnement à tout moment.


> Voir l'offre
32,99 €Compresseur portable autonome Xiaomi Mija à 32,99 €
Valable jusqu'au 22 Avril

Cdiscount fait une promotion sur le compresseur portable autonome Xiaomi Mija qui passe à 32,99 € livré gratuitement. Ce compresseur à emporter facilement avec vous comporte un écran (où vous pourrez choisir la pression à atteindre en PSI ou BAR) une batterie de 2000 mA et vous permettra de gonfler vos jouets (41 pièces avec une charge), pneus de vélo, de trotinette, de moto (6 pneus avec une charge) et même de voiture (5 pneus avec une charge) facilement.

Le câble est accompagné d'un embout pour valve Schrader et un adapteur Presta et une aiguille sont fournis. Le compresseur se recharge via une prise Micro USB.


> Voir l'offre

Sujets relatifs
Rapports suite à procédure diagnostic PC infecté
Vérification de mon ordinateur soi-disant infecté
pc infecté rapports
Ordinateur infecté
mon ordinateur est infecté
Ordinateur infecté par Spywares, navigation impossible
Ordinateur portable infecté, pub internet
rapports pc peut-être infecté
Nettoyer un ordinateur infecté et Spybot Search&Destroy
Ordinateur infecté
Plus de sujets relatifs à Ordinateur infecté ?, rapports demandés suite blocages
 > Tous les forums > Forum Sécurité