|
 Posté le 28/03/2015 @ 09:55 |
Petit astucien
| Bonjour
PC TOSHIBA windows 8.1, peu de logiciels présents en dehors des outils Toshiba et windows , ancienneté 18 mois
Utilisateur « avisé » sans être expert
Windows update réalisé systématiquement (à l’analyse, il dit qu’il n’y pas de nouvelles mises à jour)
Jusqu’il y a là 15 jours, mon PC était particulièrement rapide à l’ouverture et en fonctionnement (menu démarrage seulement avast , entretien fait très régulièrement avec Avast) :
Depuis, nombreux problèmes détectés :
Ralentissement au démarrage, puis régulièrement pendant l’utilisation
Découvert plusieurs fois Avast désactivé, sans possibilité de le remettre en service sauf à éteindre le PC et redémarrer (malgré une désinstallation et réinstallation)
Plusieurs fois par jour, plantage du PC qui veut s’éteindre et finit sur l’écran noir avec le texte « no device bootable »
Aucun point de restauration trouvé dans l’utilitaire de restauration
Malgré la création de deux points de restauration depuis, ces points n’apparaissent pas dans l’historique, comme si détruits depuis !
Il ne propose pas de restauration système, ni de boot sur une image système (que j’ai pourtant fait à l’origine il me semble…)
Pas de disque de restauration
Actions menées :
Grand ménage avec CCleaner, repération base de registre
Multiples scans d’antivirus :
Avast : RAS
Windows defender : trojan "tugspay" détecté et détruit dans un document téléchargé
Malwarebytes : RAS
F Secure : RAS
Kaspersky : RAS
et enfin Ad Aware : je n'ai pu faire que des quick scan, le PC plante avant la fin des scans plus détaillés. Au premier scan, deux fichiers détruits
et depuis toujours les mêmes problèmes
j'ai désinstallé les rares applis qui m'étaient inutiles, les répertoires des programmes non installés.
Je suis tombé sur des exe étranges ( difxinstall64.exe, geardifx.exe....)dans un répertoire au nom qui ne sonne pas bien C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69\x64 Je n'ai pas encore supprmé
J’ai bien trouvé tout un tas de clés comprenant le nom de « recovery » dans le dossier \windows\winSxS, mais je ne sais qu’en faire : puis-je supprimer les plus récentes ? cela me ramènerait-il à un état antérieur ?
Si on trouve pas de point de restauration, ou l’origine du bug, si formatage, où trouver le disque de boot et windows 8.1 ?
J'ai tenté le chat avec le support Windows, et en fin au bout d'1h30 d'attente, j'ai eu quelqu'un. Sauf que 5min après, mon PC a planté, grrrrrrr
Quelqu'un a-t'il vécu ça ou a des idées?
merci et bonne journée |
|
|
|
|
|
Posté le 28/03/2015 à 11:02 |
|  Bonjour,
Je vais t'assister au cours de cette désinfection. Si tu es d'accord, on va fixer quelques règles pour que la désinfection soit efficace.
- Si tu as ouvert un sujet similaire sur un autre forum, merci de me prévenir afin que je ne fasse pas de recherches inutiles et par souci d'efficacité (on ne prend pas rendez-vous dans 2 garages pour le même problème mécanique),
- Si tu as des cracks ou des keygens, tu les supprimes,
- Si tu as un windows illégal, je ne désinfecte pas.
- Tu poursuis la désinfection jusqu'au bout, même si tu constates une amélioration rapide, et de préférence sur un temps restreint (pas une réponse tous les 3 jours), sinon, cela ne sert à rien.
- La désinfection comprend un diagnostic, un nettoyage, la suppression des outils utilisés et des conseils pour éviter des ré-infections futures, mettre le système à jour, créer des sauvegardes etc...
- Quelques-uns des outils utilisés peuvent faire réagir certains antivirus, car ils sont puissants et destructeurs s'ils sont mal utilisés.
- Pour me permettre d'établir un diagnostic, peux-tu suivre ces consignes et éditer les trois rapports demandés ? (Adwcleaner, malwarebyte's et ZHPDiag).
- Si tu as des questions, n'hésite pas.
Evasion60
/!\ En attente des trois rapports demandés (à effectuer dans l'ordre proposé)
|
|
Posté le 28/03/2015 à 14:50 |
Petit astucien
| merci
il m'a fallu quelques heures et deux plantages.
j'avais déjà fait malwarebytes et adw cette semaine, mais j'ai refait et voici les trois posts demandés:
|
|
Posté le 28/03/2015 à 14:50 |
Petit astucien
| |
|
Posté le 28/03/2015 à 14:50 |
Petit astucien
| |
|
Posté le 28/03/2015 à 14:51 |
Petit astucien
| |
|
Posté le 28/03/2015 à 18:56 |
| Re
/!\ Désinstalle tous tes liens pourris, liés au P2P ! 
O45 - LFCP:[MD5.9CDBAB08AB4282C92F9B899ADC4D0BE8] - 14/01/2015 - 14:09:17 ---A- - C:\Windows\Prefetch\UTORRENT.EXE-BC2F46EF.pf =>P2P.µTorrent
O87 - FAEL: "{09D51C5B-D0B0-463F-8AD7-582737E53ED1}" | In - None - P17 - TRUE | .(.BitTorrent Inc. - µTorrent.) -- C:\Users\famille\AppData\Roaming\uTorrent\uTorrent.exe =>P2P.BitTorrent
O87 - FAEL: "{1E9AEB5A-73D0-4746-90A1-FF4701F7BA76}" | In - None - P6 - TRUE | .(.BitTorrent Inc. - µTorrent.) -- C:\Users\famille\AppData\Roaming\uTorrent\uTorrent.exe =>P2P.BitTorrent
/!\ Connais tu ta page de démarrage, que je ne parviens pas à ouvrir =>
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://109.28.199.112:81/ 
A te lire
|
|
Posté le 28/03/2015 à 19:14 |
Petit astucien
| les trois fichiers, je les supprime? ou comment désinstaller? ils n'apparaissent pas sur ccleaner, (mais j'ai bien l'icone utorrent que j'utilise de temps en temps)
la page de demarrage ie m'amenait sur une webcam que je n'utilise plus. Je l'ai laissé, car j'utilise chrome et je ne l'ai du coup jamais désinstallé sur ie.
xrt
|
|
Posté le 28/03/2015 à 22:34 |
Petit astucien
| |
|
|
|
|
|
Posté le 28/03/2015 à 22:43 |
Petit astucien
| nouvelles du soir
je viens de poster le fichier MBAM0, suite au premier passage de malwarebytes la semaine dernière, dont j'ai retrouvé l'historique. Il avait alors trouvé 4 cochonneries (ou a cru trouver). Fichiers détruits, mais ça n'a pas empêché mon PC de continuer à dérailler toute la semaine.
quand il plante, il s'arrête sur un écran noir, avec indiqué : no bootable device please start system et il faut éteindre et rallumer le PC
pour la première fois depuis 8 jours, je constate qu'un point de restauration a été créé et est accessible (créé à 15h31, 3/4h après avoi repassé malwarebytes, adaware et Zhpdiag
mais je ne pense pas qu'on soit au bout!!
toujours pas détruit les 3 fichiers douteux en attente de savoi si suppression vaut désinstallation dans ce cas ...
|
|
Posté le 29/03/2015 à 09:19 |
| Bonjour
1/
Faut pas s'étonner d'être infecté, ou une machine instable, avec la pratique du P2P 
Pour tes flux pourris P2P, tu supprimes/désinstalles tout ce qui touche à BitTorrent
Tu vides ta corbeille
2/
Téléchargez ZHPCleaner ICI
/!\ Désactiver votre antivirus pendant le téléchargement de ces outils
- Cet outil ne nécessite aucune installation, il est très rapide car basé sur l’exécution de scripts
-A partir de Windows Vista,... (clique-droit > exécuter en tant qu'administrateur
-Autoriser les modifications. ( Demande du contrôle des comptes d'utilisateur si c'est votre cas)
-Accepte "les conditions d'utilisation"( I agree )
-- Cliquer sur scanner
En cas de présence d'un proxy, un message apparaît avec la question suivante
-Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy
- Si vous n'avez pas installé de Proxy, cliquer sur "Non" pour accepter la réparation du proxy.
- S’il te demande Voulez-vous remplacer la page d'accueil ?, et que tu ne l’a connait pas et que ce n’est pas toi qui l’a installé ,clique sur "Oui"
En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante
-Avez-vous installé ce serveur ? suivi du nom du serveur
- Si vous n'avez pas installé de serveur,, cliquer sur "Non" pour accepter la réparation
Laisser la barre de progression arriver jusqu’à la fin.
- A la fin du traitement, un rapport de nettoyage s’affiche dans le bloc-notes , le coller dans votre réponse
1) si le rapport est court le coller directement dans votre réponse
2) si le rapport est plus long, l'enregistrer sur votre bureau, puis:
rendez vous ici: http://www.cjoint.com
cocher 21 jours en lecture
-Appuyez sur Parcourir et allez chercher le rapport sur le bureau
-puis vous cliquez un peu plus bas dans la page sur Créer le lien CJoint, et c'est ce lien qui vous est donné que vous
collez dans votre réponse
/!\ Réactiver l'antivirus
3/
Marque et type exact, de la machine, STP
*
En attente du rapport avec ZHPCleaner, et d'une réponse à ma question
Bon dimanche
|
|
Posté le 29/03/2015 à 15:03 |
Petit astucien
| opération terminée
~ ZHPCleaner v2015.3.29.144 by Nicolas Coolman (29/03/2015)
~ Run by famille (Administrator) (29/03/2015 12:33:12)
~ Forum : http://forum.nicolascoolman.fr
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Scanner
~ Report : C:\Users\famille\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\famille\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
~ Windows 81, 64-bit (Build 9600)
---\\ Service. (0)
~ Aucun élément malicieux trouvé.
---\\ Navigateur internet. (1)
TROUVÉ Proxy: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyHttp1.1 ( 1 )
---\\ Fichier hôte. (1)
~ Le fichier hôte est légitime. (21)
---\\ Tâche planifiée. (0)
~ Aucun élément malicieux trouvé.
---\\ Explorateur ( Dossiers, Fichiers ). (0)
~ Aucun élément malicieux trouvé.
---\\ Base de Registres ( Clés, Valeurs, Données ). (2)
TROUVÉ clé: HKCU\Software\AppDataLow\Software\adawarebp [] (PUP.ToolbarCleaner)
TROUVÉ clé: HKCU\Software\AppDataLow\Software\Smartbar [] (PUP.QuickShare)
---\\ Bilan de la réparation
~ Aucune réparation effectuée.
~ Ce navigateur est absent (Mozilla Firefox)
~ Ce navigateur est absent (Opera Software)
---\\ Statistiques
~ Items scannés : 77138
~ Items trouvés : 3
~ Items réparés : 0
End of clean at 13:00:21
===================
ZHPCleaner-[S]-29032015-13_00_21.txt
Machine Tochiba C8700 119
a te lire
xrt |
|
Posté le 29/03/2015 à 16:00 |
| Re
1/
/!\ Désactiver votre antivirus
- Relancer ZHPCleaner
- Cliquez sur le bouton Réparer
Note:
Durant le nettoyage, si l'outil te demande "Avez-vous installé ce proxy ?" et que tu n'en as pas installé, clique sur "Non"
- "Voulez-vous remplacer la page d'accueil ?, clique sur "Oui"
- "Avez vous installé ce serveur ? suivi du nom du serveur , et que vous n’avez pas installé de serveur , clique sur “Non”
Copie/Colle ZHPCleaner.txt présent sur ton bureau sur dans ta prochaine réponse sur le forum
/!\ Réactiver l'antivirus
2/
/!\ Attention avec FRST, bien suivre l'aide proposée // Tout son environnement doit être sur le Bureau (programme et rapports)
Télécharge FRST sur ton bureau et pas ailleurs !
La page de téléchargement : http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
(Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
Comment savoir si mon pc est 32 ou 64 bits =>
Touches clavier Windows + Pause
Dans la fenêtre qui s'ouvre =>
Type de l'OS + Système d'exploitation 32 bits ou 64 bits
Ferme toutes les applications en cours
Lance FRST,
Sous Vista, Seven et Win8, par un clic droit et exécuter en tant qu'administrateur
Accepte le dislaimer en cliquant sur le bouton YES de Fabar_FRST
Coche en + les cases "Drivers MD5" // "Additions.txt" // "Shortcut" & "90 Days Files"
Clique sur le bouton Scan
Le scan se lance, les éléments scannés apparaissent en haut
Une fois le scan terminé, une popup te le signale et tois rapports sont générés : FRST.txt // Addition.txt //Shorcut.txt
Ces deux rapports se trouvent sur le bureau avec le programme FRST
Va sur le site www.Cjoint.com afin d’y déposer les rapports pour une consultation
Cochez 21 jour
Dans la partie, Chemin du fichier à soumettre, clique sur Parcourir
Sélectionne le fichier FRST.txt
Note l’adresse donné ci-dessous et transmets la sur le forum dans ton sujet de désinfection afin que la personne qui t'aide puisse consulter le rapport
Répéte l’opération pour le fichier Addition.txt et transmets le lien de Cjoint.com de ton rapport Addition.txt
Idem avec Shorcut.txt
*
Tu as quatre rapports à me fournir
|
|
Posté le 29/03/2015 à 21:29 |
Petit astucien
| bonsoir
plusieurs plantages encore, c'est laborieux !
1er rapport de ZHPCleaner avant qu'il ne plante à 40% d'avancement
~ ZHPCleaner v2015.3.29.145 by Nicolas Coolman (29/03/2015)
~ Run by famille (Administrator) (29/03/2015 20:12:12)
~ Forum : http://forum.nicolascoolman.fr
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Réparer
~ Report : C:\Users\famille\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\famille\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
~ Windows 81, 64-bit (Build 9600)
et second rapport avec 100% ce coup-ci.................
~ ZHPCleaner v2015.3.29.145 by Nicolas Coolman (29/03/2015)
~ Run by famille (Administrator) (29/03/2015 20:55:09)
~ Forum : http://forum.nicolascoolman.fr
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Pas de fichier réseau
~ Type : Réparer
~ Report : C:\Users\famille\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\famille\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
~ Windows 81, 64-bit (Build 9600)
---\\ Service. (0)
~ Aucun élément malicieux trouvé.
---\\ Navigateur internet. (0)
~ Aucun élément malicieux trouvé.
---\\ Fichier hôte. (1)
~ Le fichier hôte est légitime. (21)
---\\ Tâche planifiée. (0)
~ Aucun élément malicieux trouvé.
---\\ Explorateur ( Dossiers, Fichiers ). (0)
~ Aucun élément malicieux trouvé.
---\\ Base de Registres ( Clés, Valeurs, Données ). (2)
SUPPRIMÉ clé*: HKCU\Software\AppDataLow\Software\adawarebp [] (PUP.ToolbarCleaner)
SUPPRIMÉ clé*: HKCU\Software\AppDataLow\Software\Smartbar [] (PUP.QuickShare)
---\\ Bilan de la réparation
~ Réparation réalisée avec succès.
~ Ce navigateur est absent (Mozilla Firefox)
~ Ce navigateur est absent (Opera Software)
---\\ Statistiques
~ Items scannés : 77177
~ Items trouvés : 0
~ Items réparés : 2
End of clean at 21:21:39
===================
ZHPCleaner-[R]-29032015-21_21_39.txt
ZHPCleaner-[S]-29032015-13_00_21.txt
je poursuis le traitement prescrit et posterait les prochains rapports! |
|
Posté le 29/03/2015 à 21:50 |
Petit astucien
| |
|
Posté le 30/03/2015 à 09:42 |
| |
|
Posté le 30/03/2015 à 20:37 |
Petit astucien
| bonsoir 
sitot rentré du boulot, sitot essayé:"le volume c n'est pas intègre"...
j'attends confirmation pour lancer chkdisk. Pour rappel, je n'ai pas de sauvegarde systeme. J'ai un point de restauration datant d'hier am, et celui de samedi s'est effacé.
a suivre! |
|
|
|
|
|
Posté le 30/03/2015 à 21:11 |
| Bonsoir
... J'ai un point de restauration datant d'hier am, et celui de samedi s'est effacé ...
Non, n'utilises aucun point de restauration, ils vont tous être corrompus ! 
Eu égard tes fichiers "minidump" présents dans FRST, tu dois avoir un problème Hard
Attention, FRST montre aussi des actions a effectuer, mais pour le moment j'attends de connaitre l'état du HDD, puis de l'intégralité de Windows
Réparer avec fsutil
Sous XP => Démarrer // Tous les programmes // Accéssoires ---> "Invite de commandes", clic droit et "Exécuter en tant qu'administrateur"
Sous Vista/Win7 => Dans le menu Windows // Tous les programmes// Accessoires => clic droit sur "Invite de commandes" et "Exécuter en tant qu'administrateur"
Sous Win8 => Barre de charme // Rechercher => Taper « Invite de commandes » l'épingler par un clic droit. En bas à gauche "Exécuter en tant qu'administrateur"
Dans la fenêtre noire qui va s'ouvrir et derriere le curseur clignotant que vous verrez et qui suit la ligne c:\windows\system32>
Tapez en respectant les espaces ou par un copier/coller chkdsk c: /F/R et appuyez sur la touche "Entrée" de votre clavier
ll vous sera proposé de lancer la vérification au prochain démarrage de votre PC, le volume (votre disque dur C:\) étant en cours d’utilisation "Tapez O" pour OUI puis redémarrez votre PC
L’analyse va se faire au redémarrage de l'ordinateur, soyez patient elle peut être longue
Télécharge => Rapport
Report_CHDSK de Laddy sur ton bureau
Double-Clic dessus pour l'exécuter
Le rapport va s'ouvrir dans le bloc-note
Si ce n'est pas le cas, le rapport nommé RapportCHK_DD-MM-AAAA.txt se trouve sur ton bureau
Poste-le dans ta prochaine réponse
*
|
|
Posté le 30/03/2015 à 22:21 |
Petit astucien
| je me lance! A plus tard....
j'ai perdu tout d'un coup tous mes contacts wml . J'ai récupéré une version presque à jour, mais pas avec une modif que j'avais faite hier...
J'ai un répertoire sur le bureau qui a disparu alors que je venais de l'ouvrir...pas un raccourci, un repertoire avec 3 films dessus. Et pas de trace dans la poubelle.
J'ai crains un hacker, et j'ai coupé la wifi. Ca ne s'est pas laissé faire ttout de suite, et plus tard, j'ai eu du mal à la rallumer...
Ca commence à devenir pourri!
Bon, sur ce , je lance le chkdsk!
A+ |
|
Posté le 30/03/2015 à 22:53 |
Petit astucien
| bloqué à 11% depuis 20 minutes. Les 10 premiers% avaient été rapides.
j'utilise un autre PC, et jevais laisser le chkdsk se dérouler pendant la nuit. je ne pourrais sans doute pas envoyer le rapport avant demain soir! grrrrrrrrrrrr
zarbi les trucs qu'il m'a fait tout à l'heure de repertoire disparu, et de perte de mes contacts...
A+ et merci de t'occuper ainsi de mon problème!
|
|
Posté le 30/03/2015 à 23:04 |
Petit astucien
| toujours bloqué à 11%
je force l'arrêt/redémarrage? |
|
Posté le 31/03/2015 à 14:44 |
| Bonjour
/!\ Trop d'instabilité pour aller plus loin !
HDD corrompu + usage de flux P2P à très hauts risques
Dans ta documentation du portable, Toshiba C8700-119, tu as une procédure de "Retour Etat Usine"
Peux-tu valider que tu la possèdes ?
|
|
Posté le 31/03/2015 à 18:57 |
Petit astucien
| bonsoir
de retour
ce matin à l'ouverture, message d'erreur/ j'avais relancé deux fois dans la nuit le xhkdsk bloqué à 11%
j'ai pu redémarrer windows, mais très lentement, et depuis ça rame dur.
Pas de procédure "retour état usine". En guise de doc, j'avais juste un dépliant qui me disait comment brancher la prise....
d'après toi, pas moyen d'aller retrouver une image systeme cachée dans un coin?
je vais essayer de sauvegarder mes dossiers de docs et wml, ma dernière sauvegarde a 3 semaines, c'est déjà pas mal.
a+ |
|
Posté le 31/03/2015 à 21:05 |
| Re
Touches clavier + R
Fait moi une copie lisible de cette commande => diskmgmt.msc
A demain
|
|
Posté le 31/03/2015 à 23:02 |
Petit astucien
| je n'arrivais pas à envoyer cet écran de manière lisible! J'espère que ce support sera OK !
http://cjoint.com/?0CFxmatIacp
j'ai fait mes sauvegardes de fichier, très laborieusement (c'est pour cela que tu verras un disque E et un F qui étaient mes supports DD externe.
j'ai trouvé sur le site toshiba la procédure de restauration parametres usine. Ce sera pour demain soir...
A suivre |
|
Posté le 03/04/2015 à 17:55 |
Petit astucien
| bonjour
je vais abandonner ce topic et en ouvrir un autre, sauf si on vient à mon secours!!!!
j'ai tout essayé pour retrouver les paramètres usuine, sans succès!
ca finit toujours par un plantage...Il ne veut même pas de l'image system que j'avais enregistré sur un DD externe!
par l'invite de commande, je n'ai plus que le X:\ plus moyen d'aller sur c:\
j'ai essayé avec un disque windows7: rien de mieux.
Le DD doit être mort : je l'ai sorti, et j'ai tenté de le lire via une interface sur un autre PC : il n'apparait pas dans les lecteurs....
si je rachète le même disque dur, la procédure pour remonter l'image system est-elle possible? Il suffit de remplacer le disque dur?
il y a quelqu'un sur la ligne? |
|
|
|
|
|
À LA UNE
PRATIQUE
LOGITHÈQUE
TABLETTE ET MOBILE
BONS PLANS
FONDS D'ÉCRAN
JEUX
FORUM
windows 8.1 lenteur, blocage, fermeture etc...
