> Tous les forums > Forum Sécurité
 PC très lent et figé au démarrageSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
sitiee
  Posté le 10/11/2012 @ 08:43 
Aller en bas de la page 
Petite astucienne

Bonjour,

Procédure suivie ; voici les 1ers rapports :

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.10.03

Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
Misi
ORCHIDEE [administrateur]

10/11/2012 8:07:05
mbam-log-2012-11-10 (08-07-05).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 272433
Temps écoulé: 27 minute(s), 25 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

http://cjoint.com/?BKki05bqQ9B



Modifié par sitiee le 10/11/2012 08:53
Publicité
sitiee
 Posté le 10/11/2012 à 08:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour et merci je viens d'inscrire le lien de dans 1er message

Je travaille en WI-Fi, car pc bureau uniquement en mode sans échec avec prise réseau et adwcleaner impossible

Néanmoins je remets le lien

http://cjoint.com/?BKki05bqQ9B

Pour adwcleaner, rapport négatif mais pas possible de l'obtenir via le "portable" en mode sans échec

Merci pour le suivi.

Voilà via clé usb ==>

# AdwCleaner v2.007 - Rapport créé le 10/11/2012 à 08:02:04
# Mis à jour le 06/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Misi - ORCHIDEE
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Documents and Settings\Misi\Mes documents\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Documents and Settings\Misi\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************


AdwCleaner[S7].txt - [1432 octets] - [10/11/2012 08:02:04]

########## EOF - C:\AdwCleaner[S7].txt - [1492 octets] ##########



Modifié par sitiee le 10/11/2012 09:02
sitiee
 Posté le 10/11/2012 à 09:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Vraiment désolée, mais je dois partir ; je serai de retour vers 18h30 - sorry et merci pour l'aide que vous m'apporterez

Evasion60
 Posté le 10/11/2012 à 13:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Il n'y a pas de réelle infection !

Applique ce léger correctif =>

Lance ZHPFix par l'icône sur le bureau, avec élévation des privilèges pour Vista et Windows 7 ( Clic droit exécuter en tant qu'administrateur )

image


Elle a été créée lors de l'installation de ZHPDiag.

image A l'aide de la souris (clic gauche maintenu), sélectionne et copie (clic droit/copier) le contenu de l'encadré ci-dessous

Code

O2 - BHO: (no name) - {696D8C1E-7039-40c8-9C66-07D9D2A2D00D} Clé orpheline => AdCleaner
O3 - Toolbar: (no name) - [HKCU]{1E796980-9CC5-11D1-A83F-00C04FC99D61} . (...) -- (.not file.) => Possible Infection BT (Emusic.Adw)
O4 - HKCU\..\RunOnce: [Report] C:\AdwCleaner[S7].txt (.not file.) => XPlode - AdwCleaner Tool
O4 - HKUS\S-1-5-21-1482476501-1383384898-1343024091-1004\..\RunOnce: [Report] C:\AdwCleaner[S7].txt (.not file.) => XPlode - AdwCleaner Tool
O18 - Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} . (...) -- => Grisoft AVG Internet Security Suite
O43 - CFD: 3/11/2012 - 19:39:41 - [0] ----D C:\Documents and Settings\Misi\Application Data\Shareaza => Shareaza PeerToPeer
O43 - CFD: 3/11/2012 - 19:39:41 - [0] ----D C:\Documents and Settings\Misi\Local Settings\Application Data\Shareaza => Shareaza PeerToPeer
O62 - ADS:Alternate Data Stream File - C:\WINDOWS\system32\Thumbs.db:encryptable => Microsoft Windows Picture Miniature Cache
[HKLM\Software\Classes\CLSID\{1a03f196-9617-4ca0-842b-a83ceecb022b}] =>Toolbar.SweetIM => Toolbar.SweetIM
EmptyCLSID
Emptytemp
EmptyFlash


image Clique sur le bouton Presse-papier encadré en rouge sur l'image.


Les lignes contenues dans le presse-papier vont s'afficher.

image Clique sur le bouton GO en bas à gauche.

Note: Si l'UAC est active, après le clic sur "GO", un message va apparaître du style "Voulez-vous autoriser le programme...." qu'il faudra valider :

Puis ZHPFix se relance, il faudra à nouveau cliquer sur le bouton "Presse-papier" pour coller les lignes, puis sur le bouton "GO"

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil (en haut à doite).

image
image Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.

image

A te lire

sitiee
 Posté le 10/11/2012 à 19:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir, Enfin de retour et merci à Evasion pour son intervention.

Pour le PC à problème je suis sous XP familial SP3, je n'utilise que des versions légales avec MAJ

Je viens d'allumer le PC de bureau à problème à 18h44 et à 19h08 le sablier est tjs présent et tout est figé.

Ici, je suis sur PC portable en Wi-Fi.

Je vais donc faire ce qui est demandé, .

A tout de suite.

sitiee
 Posté le 10/11/2012 à 19:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voilà, manipulation effectuée et voici le rapport :

Rapport de ZHPFix 1.3.06 par Nicolas Coolman, Update du 09/11/2012
Fichier d'export Registre :
Run by Misi at 10/11/2012 19:12:49
Windows XP Home Edition Service Pack 3 (Build 2600)

========== Clé(s) du Registre ==========
SUPPRIME Key: CLSID BHO: {696D8C1E-7039-40c8-9C66-07D9D2A2D00D}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{1a03f196-9617-4ca0-842b-a83ceecb022b}

========== Valeur(s) du Registre ==========
ABSENT Toolbar: {1E796980-9CC5-11D1-A83F-00C04FC99D61}
SUPPRIME Toolbar: {1E796980-9CC5-11D1-A83F-00C04FC99D61}
ABSENT RunValue: Report

========== Elément(s) de donnée du Registre ==========
ERREUR CLSID PAPP: {F274614C-63F8-47D5-A4D1-FBDDE494F8D1}

========== Dossier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
ABSENT File: c:\adwcleaner[s7].txt
ABSENT File: c:\windows\system32\thumbs.db:encryptable
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
2 : Clé(s) du Registre
3 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)
4 : Fichier(s)


End of clean in 00mn 03s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 10/11/2012 19:12:51 [1204]

En mode sans Echec avec connexion réseau ... pas de tracas et rapide mais en navigation normale ... impossible tout est figé !!!



Modifié par sitiee le 10/11/2012 19:21
Evasion60
 Posté le 10/11/2012 à 19:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Ce n'est pas virale !

1/
Test du disque dur
Démarrer // Tous les programmes // Accessoires =>
Clic droit sur " Invite de Commande "
Exécuter en tant qu'Administrateur
Dans la fenêtre MsDos qui s'ouvre => taper cette commande => chkdsk /f/r ===> Attention il y a un espace à respecter
Valider par " entrer "

Ce test peut être long, c'est prévu, en fonction de ta taille du disque dur

4/
Test intégralité Windows
Démarrer / Taper cmd
Dans la fenêtre qui s'ouvre, taper sfc /scannow ===> Attention il y a un espace à respecter

Sous Vista et Win7 en " Invite de commande ", avec les droits administrateur ( clic droit )
Le CD/DVD deWindows te sera peut être demandé

Dans ta réponse dit moi si il y a des clusters du disque dur déffectueux, et si des fichiers Windows ont été réparés

sitiee
 Posté le 10/11/2012 à 19:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Merci pour ton suivi

Je redémarre en mode sans Echec Administrateur et effectue cela

Edit :

PC redémarré et manip en cours de réalisation ... au cas ou ... je prépare le CD



Modifié par sitiee le 10/11/2012 19:46
sitiee
 Posté le 10/11/2012 à 20:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

/
Test intégralité Windows
Démarrer / Taper cmd
Dans la fenêtre qui s'ouvre, taper sfc /scannow =

Impossible de faire cela c'est figé ... tjs le "sablier" ... la "souris" est mobile mais impossible de "cliquer" ... rien ne réagit


---> Mais il y a "clusters" réparés



Modifié par sitiee le 10/11/2012 20:52
Publicité
sitiee
 Posté le 10/11/2012 à 20:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

bon ... enfin j'ai réussi à faire cette étape ...

Démarrer / Taper cmd
Dans la fenêtre qui s'ouvre, taper sfc /scannow

enfin à l'écrire mais rien ne se passe c'est de nouveau inactif ...


Toujours le sablier ...



Modifié par sitiee le 10/11/2012 20:53
Evasion60
 Posté le 10/11/2012 à 23:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Donc la commande scannow, n'a pas fonctionnée ?

Essaie l'autre pour demain

sitiee
 Posté le 11/11/2012 à 08:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour,

Non, ==> Dans la fenêtre qui s'ouvre, taper sfc /scannow

Cela ne fonctionne pas.

Faut-il aussi la faire en Mode sans échec (sorry pour mon ignorance) ... d'une façon comme de l'autre, ce n'est pas opérationnel

Cette commande est inopérante, je refais la 1ère

A tout de suite

Et bon dimanche.

++> Ce qui m'intrigue c'est qu' en "Mode sans échec" tout semble OK et opérationnel et en Démarrage normal, je constate que pendant qqs sec cela semble fonctionner et puis, seule la "souris" peut être déplacée mais impossible de cliquer quoi que ce soit, tout paraît figé, non fonctionnel.

Edit : ==> après, chkdsk /f/r ==> Volume propre et redémarrage ...

Edit : fonctionnel 10' et puis de nouveau "figé" .... impossible de faire sfc /scannow

Impossible d'aller voir le "Journal des évènements", mais désolée, comme hier, je dois m'absenter. De retour vers 18h30 - 19h00, je ferai ça ce soir en "mode sans échec" si c'est possible qu'en pensez-vous ?

Merci pour l'aide et à ce soir.



Modifié par sitiee le 11/11/2012 09:16
Evasion60
 Posté le 11/11/2012 à 18:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Donc pour résumer =>
- Mode sans échec planté au bout que qqlles minutes
- Mode normale aussi
C'est bien cela ?

Sinon le pC est de quelle année
A-t-il déjà été nettoyé à l'intérieur ( Poussière // Ventirads // Filtres si présents // Changement de la pâte thermique du CPU )

A te lire



Modifié par Evasion60 le 11/11/2012 18:49
sitiee
 Posté le 11/11/2012 à 19:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir,

Non, en mode sans échec avec prise de réseau, ça fonctionne très bien c'est uniquement en mode normale que ça plante directement

PC nettoyé (dépoussièré régulièrement)

Nouvelle carte-mère il y a 2 ans et mise en ordre par le technicien. (personne compétente et fiable).

Problème survenu en fait, après mise à jour de Glary utilities que j'ai viré mais ... trop tard, donc de celui-ci vient mon problème ...

Je me répète mais en mode sans échec tout fonctionne bien c'est ce que je ne comprends pas .... c'est Windows qui plante uniquement en mode normale !

Un service à peut-être été arrêté ???? mais quid ?

Ici, j'interviens via le PC portable car PC bureau immédiatement figé dès installation windows, donc impossible de faire sfc /scannow

Invite de commandes, j'ai "erreur 0x000006ba"

A bientôt.



Modifié par sitiee le 12/11/2012 00:56
Evasion60
 Posté le 11/11/2012 à 19:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Bien, je vais te faire démarrer sous un autre environnement
Sur un PC sain applique ci dessous ( je te conseille de l'imprimer, car c'est relativement long )

image OTLPENet.exe de OldTimer sur le bureau à partir d'un pc sain.

Ce système vous permettra d'accéder à Internet si vous disposez d'une connexion.

image Insére un cd vierge dans ton graveur et clique sur le fichier téléchargé.
image Réponds Oui à la demande de gravure et attends la fin de celle-ci.
Récupère le CD gravé.
image Insére-le dans le pc contaminé.
image Tapotes sur F8 ou F5 au démarrage pour choisir de "booter" sur le lecteur de CD.

Cette fenêtre va apparaître et peut rester affichée plusieurs minutes.

image

Plusieurs fenêtres de ce type vont suivre :

image

Juste avant affichage du bureau ReaToGo.

image

Clique sur l'icône de Firefox Portable.

image

Clic sur No Thanks, I'll risk it, il n'est pas nécessaire de le mettre à jour.

image

Tape Rogue Killer dans la barre de recherche et valide par Entrer ou un clic sur Google Search.

image

Clic sur ce résultat de préférence, c'est le site du créateur de l'outil.

image

Clique sur l'icône Rogue Killer (1) et sur Save File (2) pour enregistrer le fichier.

image

Le fichier sera enregsitré dans B:\Documents and Settings\Default User\My Documents\Download que tu ouvres.
Tu ouvres aussi My Computer - Local Disk C: qui correspond au système contaminé.
Ouvre Documents and Settings - ton compte - Bureau et tu y copies-colles ou glisses-déposes le fichier RogueKiller.exe.

image

Tu double-cliques sur le fichier pour l'exécuter. Clic sur Run dans le message.

image

Clic sur Accept pour poursuivre.

image

Après le pré-scan qui s'effectue rapidement et automatiquement, clique sur Scan et sur Delete après affichage des résultats dans le grand cadre du bas.

image

Le résultat affichera les actions entreprises (Deleted ou Replaced), ferme l'outil par la croix habituelle.

image

Ferme ReaToGo comme un système normal.

image

Tu dois être sur Shutdown et cliquer sur OK. Le disque va s'éjecter automatiquement.

image

Redémarre le système corrompu et si jamais l'infection est toujours présente, clique rapidement sur l'icône RogueKiller du bureau avant que le rogue ne bloque tout.
Refais la procédure complère de Scan et Suppression.
Un rapport s'affichera que tu posteras dans ta réponse.

Il est conseillé de compléter par un scan rapide de Malwarebytes et un autre avec AdwCleaner pour les dégâts collatéraux.

A te lire

sitiee
 Posté le 11/11/2012 à 19:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir et merci pour le retour

Je n'arrive pas à imprimer même en passant par PC portable, je vais donc laisser cette page ouverte et suivre si possible ainsi la procédure

Bon, je vais faire cela dès que possible je reviens

@ bientôt.



Modifié par sitiee le 11/11/2012 20:44
sitiee
 Posté le 11/11/2012 à 21:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voilà, je suis arrivée au bout de la procédure et j'ai directement cliqué sur RogueKiller et ça tourne ... tourne et semble bloqué sur "avgcsrvx.exe" ...

Quid ?

Tout semble de nouveau figé

????



Modifié par sitiee le 11/11/2012 21:47
Publicité
sitiee
 Posté le 11/11/2012 à 22:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voilà ... ça tourne tjs sur le même .exe ... ??? et tjs la barre des tâches est à la même place sans aucune progression !

Rien n'apparaît comme rogue !

Suis merci

Tuto impeccable et facile à suivre ... Merci evasion60 {#} Yesss Bravo

Mais maintenant que dois-je faire ?

Car ça tourne tjs et pas de rapport !

sitiee
 Posté le 11/11/2012 à 22:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voilà ... après 45'

RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Misi [Droits d'admin]
Mode : Recherche -- Date : 11/11/2012 22:12:39

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Maxtor 6E040L0 +++++
--- User ---
[MBR] 24a1cdaf42706dfa5281679e390a7168
[BSP] f0a5a5d83ba085031e5ea3b2d96413ef : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 20002 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 40965750 | Size: 19194 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_11112012_221239.txt >>
RKreport[1]_S_11112012_221239.txt



Modifié par sitiee le 12/11/2012 00:58
sitiee
 Posté le 11/11/2012 à 22:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Comme 2 essais de Rogue Killer semblaient bloquer à ce niveau ==> avgcsrvx.exe

J'ai démarré en mode sans échec et supprimé AVG Free 2013 ...

et ... apparamment tout paraît de nouveau fonctionné

mais voir le rapport publié.

merci pour le suivi.

sitiee
 Posté le 11/11/2012 à 23:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Près d'1H00 et tout semble BIEN bien fonctionné

Voir les rapports (réponse ci-dessus) c'est "parlant pour vous" mais pour moi (ignare +++) ... chou vert et vert chou ... (devinez Evasion60 ..) et aussi suppression d'avgcsrvx.exe ... ça boum +++

Cela fonctionne bien depuis bientôt 90' ... yeessss ! {#}{#}{#} et 1000 {#}

En conclusion, la procédure a supprimé qqc d'ennuyant {#} et ensuite {#} sur avg2013 qui créait aussi qqs tracas !!!! Donc je l'ai supprimé et installé Avira Free

Demain, je reviens pour un "suivi"

Bonne nuit et dormez bien





Modifié par sitiee le 12/11/2012 00:06
sitiee
 Posté le 12/11/2012 à 00:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

{#}{#}De la matinée, un dernier scan nous donnera des infos ... alors patience

Merci bcq et {#}{#}{#}{#}{#}{#} 1000 et 1 fois

Demain matin ... un petit feedback ...

Merci et bonne nuit

sitiee
 Posté le 12/11/2012 à 07:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour,

Tout "tourne" bien ; plus aucun blocage.

Merci beaucoup pour l'aide reçue.

Je reviens une dernière fois en cours de journée.

@+

Evasion60
 Posté le 12/11/2012 à 12:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Relance RogueKiller
Clique sur le bouton " Suppression "
poste son rapport

1/

Aide au diagnostic - 1ère partie

Rapport Malwarebytes Anti-Malware

  • Télécharger Malwarebytes Anti-malware.
  • Pour ceux qui possédent déjà l'outil sur leur ordinateur, il est important de procéder aux mises à jours système et base de définitions.
  • Se rendre dans l'onglet Mise à jour du programme après son lancement

***

***

***

- Un fois le programme relancé après mises à jour, si nécessaire, dans l'onglet Recherche sur lequel s'ouvre ce dernier, cocher Exécuter un examen rapide

- Cliquer sur Rechercher

***

- Lorsque le scan est terminé, après une dizaine de minutes selon les configurations, cliquer sur Afficher les résultats

***

- Dans la nouvelle fenêtre, cocher tout et cliquer sur le bouton Supprimer la sélection.

- Poster un copier-coller du rapport qui s'ouvrira automatiquement. Il n'est pas nécessaire de l'héberger ce dernier étant relativement petit.

2/



Aide au diagnostic - 3ème partie

Rapport ZHPDiag de Nicolas Coolman

-o-o-o-o-o-0-o-o-o-o-o-

Télécharger ZHPDiag de Nicolas Coolman en cliquant sur le lien indiqué ci-dessous


Lien direct donné par Nicolas sur son blog

Double-cliquer sur le fichier ZHPDiag2.exe pour installer l'outil.

Sous Windows Vista et Windows 7, accepter l'exécution du fichier et ne pas modifier les options par défaut.

(Il n'est pas nécessaire de redémarrer.) Sur le bureau seront créées trois icônes

Double-clic sur sur l'icône ZHPDiag comme sur l'image poour lancer l'outil.

Dans l'interface, fais les trois opérations comme dans l'image ci-dessous :

1 : Clique sur l'icône Tournevis
2 : Clique sur le bouton radio Tous
3 : Clique sur L'icône Loupe pour lancer le scan

4 : Quand l"analyse est terminée et que le rapport apparait , ferme l'outil

Affichage du rapport

Le rapport sera enregistré sur le bureau

Vu la taille assez importante de ce dernier et pour éviter de le saucissonner et de gêner la lisibilité sur le forum, il sera hébergé comme indiqué ci-dessous.

Au bas de la page de création du sujet ou d'une réponse cliquer sur "Insérer un rapport"

En attente des trois rapports

Dans la page suivante, cliquer sur "Parcourir" pour pointer vers le rapport ZHPDiag.txt qui devrait être sur votre bureau ou en C:

Cliquer maintenant sur "Envoyer"

Les explications en détails

Remarque : Si le rapport est trop volumineux pour l'héberger de cette façon, passer par un hébergeur comme Cjoint par exemple en cochant 21 jours pour la durée d'hébergement. Communiquer le lien obtenu.

A te lire avec les trois rapports demandés



Modifié par Evasion60 le 12/11/2012 12:32
sitiee
 Posté le 12/11/2012 à 15:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour et merci pour le suivi.

1er rapport : Rogue Killer

RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Misi [Droits d'admin]
Mode : Suppression -- Date : 12/11/2012 15:13:54

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : unknown @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7A86F0C)
SSDT[41] : NtCreateKey @ 0x80578ABE -> HOOKED (Unknown @ 0xF7A86EC6)
SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7A86F16)
SSDT[53] : NtCreateThread @ 0x80584D41 -> HOOKED (Unknown @ 0xF7A86EBC)
SSDT[63] : NtDeleteKey @ 0x80599777 -> HOOKED (Unknown @ 0xF7A86ECB)
SSDT[65] : NtDeleteValueKey @ 0x80598396 -> HOOKED (Unknown @ 0xF7A86ED5)
SSDT[68] : NtDuplicateObject @ 0x8057F195 -> HOOKED (Unknown @ 0xF7A86F07)
SSDT[98] : NtLoadKey @ 0x805D5235 -> HOOKED (Unknown @ 0xF7A86EDA)
SSDT[122] : NtOpenProcess @ 0x8057F942 -> HOOKED (Unknown @ 0xF7A86EA8)
SSDT[128] : NtOpenThread @ 0x805E4817 -> HOOKED (Unknown @ 0xF7A86EAD)
SSDT[177] : NtQueryValueKey @ 0x80572F19 -> HOOKED (Unknown @ 0xF7A86F2F)
SSDT[193] : NtReplaceKey @ 0x806571D6 -> HOOKED (Unknown @ 0xF7A86EE4)
SSDT[200] : NtRequestWaitReplyPort @ 0x8057D143 -> HOOKED (Unknown @ 0xF7A86F20)
SSDT[204] : NtRestoreKey @ 0x80656D6D -> HOOKED (Unknown @ 0xF7A86EDF)
SSDT[213] : NtSetContextThread @ 0x8063628D -> HOOKED (Unknown @ 0xF7A86F1B)
SSDT[237] : NtSetSecurityObject @ 0x8059DDD3 -> HOOKED (Unknown @ 0xF7A86F25)
SSDT[247] : NtSetValueKey @ 0x80580090 -> HOOKED (Unknown @ 0xF7A86ED0)
SSDT[255] : NtSystemDebugControl @ 0x80651AA1 -> HOOKED (Unknown @ 0xF7A86F2A)
SSDT[257] : NtTerminateProcess @ 0x8058E8B9 -> HOOKED (Unknown @ 0xF7A86EB7)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7A86F3E)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7A86F43)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Maxtor 6E040L0 +++++
--- User ---
[MBR] 24a1cdaf42706dfa5281679e390a7168
[BSP] f0a5a5d83ba085031e5ea3b2d96413ef : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 20002 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 40965750 | Size: 19194 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_12112012_151354.txt >>
RKreport[1]_S_12112012_151125.txt ; RKreport[2]_D_12112012_151354.txt

Je m'occupe du 2e rapport.

2e rapport : Malwarebytes Anti-Malware.

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.12.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Misi
ORCHIDEE [administrateur]

12/11/2012 15:18:25
mbam-log-2012-11-12 (15-18-25).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 233035
Temps écoulé: 9 minute(s), 56 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Et je fais la 3e manip demandée.

3e rapport : ZHP Diag

http://cjoint.com/?BKmpRi2LJgB

Encore merci pour le suivi.



Modifié par sitiee le 12/11/2012 15:45
Evasion60
 Posté le 12/11/2012 à 17:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Tu dois impérativement faire de la place sur ton disque dur => il est saturé

---\\ System Information
~ Processor: x86 Family 6 Model 23 Stepping 10, GenuineIntel
~ Operating System: 32 Bits
Boot mode: Normal (Normal boot)
Total RAM: 2038 MB (79% free)
System Restore: Activé (Enable) => Microsoft Windows System Restore Points
System drive C: has 2 GB (12%) free of 20 GB => Seuil critique dépassé

1/

Télécharge ccleaner
http://www.piriform.com/ccleaner/builds

Laisse le dans sa configuration d'origine
Lance un " Nettoyage "

2/

Applique ce correctif =>

Lance ZHPFix par l'icône sur le bureau, avec élévation des privilèges pour Vista et Windows 7 ( Clic droit exécuter en tant qu'administrateur )

image


Elle a été créée lors de l'installation de ZHPDiag.

image A l'aide de la souris (clic gauche maintenu), sélectionne et copie (clic droit/copier) le contenu de l'encadré ci-dessous

Code

O2 - BHO: (no name) - {696D8C1E-7039-40c8-9C66-07D9D2A2D00D} Clé orpheline => AdCleaner
O3 - Toolbar: (no name) - [HKCU]{1E796980-9CC5-11D1-A83F-00C04FC99D61} . (...) -- (.not file.) => Possible Infection BT (Emusic.Adw)
O18 - Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} . (...) -- => Grisoft AVG Internet Security Suite
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\ConfigExec.job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\DataUpload.job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-1482476501-1383384898-1343024091-1004Core.job => Facebook Update Task User
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-1482476501-1383384898-1343024091-1004UA.job => Facebook Update Task User
O41 - Driver: (AVGIDSDriver) . (. - .) - C:\WINDOWS\system32\DRIVERS\avgidsdriverx.sys (.not file.) => Fichier absent
O41 - Driver: (AVGIDSShim) . (. - .) - C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys (.not file.) => Fichier absent
O41 - Driver: (Avgldx86) . (. - .) - C:\WINDOWS\system32\DRIVERS\avgldx86.sys (.not file.) => Fichier absent
O41 - Driver: (Avgtdix) . (. - .) - C:\WINDOWS\system32\DRIVERS\avgtdix.sys (.not file.) => Fichier absent
O43 - CFD: 3/11/2012 - 18:05:30 - [0,011] ----D C:\Documents and Settings\Misi\Application Data\AVG2013 => AVG Technologie
O43 - CFD: 10/11/2012 - 5:45:37 - [63,426] ----D C:\Documents and Settings\Misi\Local Settings\Application Data\Avg2013 => AVG Technologie
O44 - LFC:[MD5.3479DC7A90F13533B77424647155CA6C] - 11/11/2012 - 23:30:08 ---A- . (...) -- C:\Copie de AdwCleaner[S8].txt [1611]
O44 - LFC:[MD5.BF619EAC0CDF3F68D496EA9344137E8B] - 10/11/2012 - 19:24:44 ---A- . (...) -- C:\WINDOWS\~DF9F2A.tmp [512]
O44 - LFC:[MD5.BF619EAC0CDF3F68D496EA9344137E8B] - 10/11/2012 - 19:24:43 ---A- . (...) -- C:\WINDOWS\~DF9763.tmp [512]
O44 - LFC:[MD5.8737F6F4C8EC1E2A9EA5516F1B3AE1AD] - 28/12/2006 - 12:01:32 ---A- . (...) -- C:\WINDOWS\003107_.tmp [19569]
O61 - LFC:Last File Created 10/11/2012 - 18:43:47 ---A- C:\Documents and Settings\Misi\Local Settings\Application Data\Avg2013\log\avgdiagex.log.1 [65617] => AVG Technologie
O61 - LFC:Last File Created 10/11/2012 - 21:40:15 ---A- C:\Documents and Settings\Misi\Local Settings\Application Data\Avg2013\log\lng.log.1 [65580] => AVG Technologie
O61 - LFC:Last File Created 10/11/2012 - 21:49:36 ---A- C:\Documents and Settings\Misi\Local Settings\Application Data\Avg2013\log\avgui.log.1 [131140] => AVG Technologie
O61 - LFC:Last File Created 10/11/2012 - 5:36:09 ---A- C:\Documents and Settings\Misi\Mes documents\Downloads\adwcleaner.exe [541569]
O61 - LFC:Last File Created 10/11/2012 - 5:44:56 ---A- C:\Documents and Settings\Misi\Local Settings\Application Data\Avg2013\log\avgemc.log.lock [0] => AVG Technologie
O61 - LFC:Last File Created 10/11/2012 - 5:45:34 ---A- C:\Documents and Settings\Misi\Local Settings\Application Data\Avg2013\log\avgscan.log.lock [0] => AVG Technologie
O61 - LFC:Last File Created 10/11/2012 - 5:46:25 ---A- C:\Documents and Settings\Misi\Local Settings\Application Data\Avg2013\log\avgcore.log.1 [131179] => AVG Technologie
O61 - LFC:Last File Created 10/11/2012 - 5:46:34 ---A- C:\Documents and Settings\Misi\Local Settings\Application Data\Avg2013\log\krnlapi.log.1 [1024059] => AVG Technologie
O61 - LFC:Last File Created 10/11/2012 - 6:19:29 ---A- C:\Documents and Settings\Misi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\2161511627.data [754] => Rubber DuckY%Malwarebytes' Anti-Malware
O61 - LFC:Last File Created 10/11/2012 - 6:19:30 ---A- C:\Documents and Settings\Misi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-2012-11-10 (05-52-17).txt [3010] => Rubber DuckY%Malwarebytes' Anti-Malware
O61 - LFC:Last File Created 10/11/2012 - 6:19:30 ---A- C:\Documents and Settings\Misi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\2161511627.quar [578] => Rubber DuckY%Malwarebytes' Anti-Malware
O61 - LFC:Last File Created 10/11/2012 - 6:19:30 ---A- C:\Documents and Settings\Misi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\3545151162.data [733] => Rubber DuckY%Malwarebytes' Anti-Malware
O61 - LFC:Last File Created 10/11/2012 - 6:19:30 ---A- C:\Documents and Settings\Misi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\3545151162.quar [382] => Rubber DuckY%Malwarebytes' Anti-Malware
O61 - LFC:Last File Created 10/11/2012 - 6:19:30 ---A- C:\Documents and Settings\Misi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\5265775090.data [737] => Rubber DuckY%Malwarebytes' Anti-Malware
O61 - LFC:Last File Created 10/11/2012 - 6:19:30 ---A- C:\Documents and Settings\Misi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\5265775090.quar [58368] => Rubber DuckY%Malwarebytes' Anti-Malware
O61 - LFC:Last File Created 10/11/2012 - 6:19:30 ---A- C:\Documents and Settings\Misi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\7487985829.data [822] => Rubber DuckY%Malwarebytes' Anti-Malware
O61 - LFC:Last File Created 10/11/2012 - 6:19:30 ---A- C:\Documents and Settings\Misi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\7487985829.quar [408] => Rubber DuckY%Malwarebytes' Anti-Malware
O61 - LFC:Last File Created 10/11/2012 - 6:36:31 ---A- C:\Documents and Settings\Misi\Application Data\AVG2013\cfgall\userawacs.cfg [11262] => AVG Technologie
O61 - LFC:Last File Created 11/11/2012 - 17:31:48 ---A- C:\Documents and Settings\Misi\Local Settings\Application Data\CRE\nbifkhamdppnoccklaghalaobnnfaplp.crx [1174005]
O61 - LFC:Last File Created 11/11/2012 - 17:31:48 ---A- C:\Documents and Settings\Misi\Local Settings\Temp\scoped_dir_912_2245\nbifkhamdppnoccklaghalaobnnfaplp.crx [1174005]
O61 - LFC:Last File Created 11/11/2012 - 22:27:07 ---A- C:\Documents and Settings\Misi\Application Data\AVG2013\cfgall\usergui.cfg [164] => AVG Technologie
O61 - LFC:Last File Created 11/11/2012 - 22:28:11 ---A- C:\Documents and Settings\Misi\Application Data\AVG2013\cfgall\outlook.cfg [197] => AVG Technologie
O62 - ADS:Alternate Data Stream File - C:\WINDOWS\system32\Thumbs.db:encryptable => Microsoft Windows Picture Miniature Cache
O64 - Services: CurCS - 9/11/2012 - C:\WINDOWS\system32\drivers\avgtpx86.sys (avgtp) .(.AVG Technologies - Pas de description.) - LEGACY_AVGTP
[HKLM\Software\Classes\CLSID\{1a03f196-9617-4ca0-842b-a83ceecb022b}] =>Toolbar.SweetIM => Toolbar.SweetIM
[HKCU\Software\Avg] => Grisoft AVG
EmptyCLSID
Emptytemp
EmptyFlash


image Clique sur le bouton Presse-papier encadré en rouge sur l'image.


Les lignes contenues dans le presse-papier vont s'afficher.

image Clique sur le bouton GO en bas à gauche.

Note: Si l'UAC est active, après le clic sur "GO", un message va apparaître du style "Voulez-vous autoriser le programme...." qu'il faudra valider :

Puis ZHPFix se relance, il faudra à nouveau cliquer sur le bouton "Presse-papier" pour coller les lignes, puis sur le bouton "GO"

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil (en haut à doite).

image
image Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.

image

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
PC très lent au démarrage
PC portable très lent au démarrage
Démarrage très lent, encore + récemment (écran noir trés long)
a chaque demarrage xp ordi tres lent durant 20 min
pc très lent, qui rame (surtout au démarrage)
PC très lent au démarrage
Pc très lent au démarrage, log Hijackthis joint
Démarrage trés trés lent win 7
pc tres lent au demarrage
Démarrage très lent
Plus de sujets relatifs à PC très lent et figé au démarrage
 > Tous les forums > Forum Sécurité