Bonjour,

voilà tout est dans le titre, mon disque dur perd de l'espace au fil des jours.

Quand je le scan avec WinDirStat j'ai un espace inconnu de 14.5 Go.

En faisant un nettoyage des fichiers systèmes via Nettoyage de Windows (points de restauration, nettoyage de Windows update ...), j'arrive à récupérer de l'espace mais dans les 3 à 4 semaines plus tard il faut recommencer.

Mes recherches sur google n'ont pas été fructueuses c'est pourquoi je me tourne vers vous

Merci d'avance aux personnes qui se pencheront sur mon problème.

Windows 7 à jour, et c'est mon disque système.

Stéphane.

Bonjour Babacoolos

Pour écarter l'éventualité d'une infection du PC, fais la première partie de cette procédure (ZHPDiag) en suivant bien les indications fournies et publie le rapport demandé.

Cordialement.

Salut,

Une idée comme cela parmi tant d'autres, un backup automatique de windows ne se ferait il pas à ton insu sur ce pc.

Ce qui entraîne obligatoirement de l'espace en moins.

Je ne sais plus comment ce nomme se process windows

Labougie

Fichier joint : ZHPDiag.txt

Merci de vous intéressez à mon cas.

@ Clbugnot: Le rapport est juste au dessus.

@ Labougie: Si c'est le cas comment le savoir ?

Re

Ton PC est infecté. Fais le reste de la procédure, publie les rapports demandés et attends qu'un membre du Groupe Sécurité te prenne en charge.

Cordialement.

Merci pour ta rapidité. Peux-tu me dire ce qu'il y a dans le rapport qui montre que je suis infecté stp ?

Je post les rapports à la suite de ce message.

Encore merci.

Fichier joint : Addition.txt

Fichier joint : FRST.txt

Fichier joint : Shortcut.txt

Re

Peux-tu me dire ce qu'il y a dans le rapport qui montre que je suis infecté stp ?

Regarde à la fin du rapport : ---\\ Récapitulatif des détections trouvées sur votre station

Cordialement.

Je pense à ceci.

Qui pourrait faire des siennes.

Sur ces réglages, il faut demander dans le forum concerné.

labougie

Salut,

Je pense que tu as cracké 2 logiciels, volontairement ou à l'insu de ton plein gré.

Je ne prend pas en charge les machines dans lesquels l'on trouve se genre de comportement.

labougie

Salut,

Au vue de nos échanges, je vais te faire 2 correctifs.

1/ Zhpfix

/!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur,
si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls

Double-clique sur le raccourci du programme "ZHPFix" qui est sur ton bureau
Pour Vista/Seven/Win8, par un clic droit et exécuter en tant qu'Administrateur

Dans l'interface du logiciel qui s'est ouvert, clique sur "Importer" pour coller le Script ZHPFix

Si le script n'est pas conforme
Un avertissement s'affiche
Le script doit comporter obligatoirement comme première ligne Script ZHPFix

Si le script est conforme
Le texte précédemment copié doit être maintenant affiché automatiquement dans l'interface de ZHPFix

Vérifie que le script dans ZHPFix correspond aux lignes précédentes

Clique sur le bouton « GO » pour lancer le nettoyage

Confirme ce nettoyage en cliquant sur "OUI" dans les deux fenêtres suivantes

Ce traitement peut durer jusqu'à plusieurs minutes avant le nettoyage proprement dit des lignes du script
Le nettoyage s'effectue, ne touche à rien pendant cette étape, si le programme demande un redémarrage du pc fait le
A l'issue un rapport ZHPFix.txt s'affiche dans la zone de rapport de l'interface et dans le bloc note Windows
Le rapport est aussi sauvegardé sur le Bureau Windows et dans le dossier => C:\user\nomxxx\AppData\Roaming\ZHP\ZHPFix.txt

Le texte à copier est celui-ci (les lignes en bleues)

Script ZHPFix
FirewallRaz
EmptyPrefetch
EmptyTemp
EmptyFlash
hostfix
sysrestore
proxyfix
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowHelp: Modified =>PUA.StartShow
M2 - MFEP: Extension [Stef - nlcj3pqu.default] pavel.sherbakov@gmail.com => PUP.QuickShare
M2 - MFEP: Extension [Stef - rx5xdd9p.Stef] pavel.sherbakov@gmail.com => PUP.QuickShare
M2 - MFEP: Extension [Stef - yo1k88sj.default] pavel.sherbakov@gmail.com => PUP.QuickShare
O1 - Hosts: 217.77.219.101 firststart.nero.com => Infection Hosts (Hosts.Redirection)↓
C:\Program Files (x86)\SaveShare =>Adware.SaveShare
C:\ProgramData\InstallMate =>PUP.Tarma
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\eSafeSvc] =>PUP.eSafeSecurity
C:\Program Files (x86)\SaveShare =>Adware.SaveShare^
C:\ProgramData\InstallMate =>PUP.Tarma^
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowHelp: Modified =>PUA.StartShow^
M2 - MFEP: Extension [Stef - nlcj3pqu.default] staged
M2 - MFEP: Extension [Stef - rx5xdd9p.Stef] staged
M2 - MFEP: Extension [Stef - yo1k88sj.default] staged
O3 - Toolbar: (no name) - [HKLM]{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} Clé orpheline => Orphean Key not necessary
[MD5.2A3FB4C98F139038E23330D2439DB8A4] [APT] [FacebookUpdateTaskUserS-1-5-21-3907137416-1813529781-3723314742-1000Core] (.Facebook Inc..) -- C:\Users\Stef\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096]
[MD5.2A3FB4C98F139038E23330D2439DB8A4] [APT] [FacebookUpdateTaskUserS-1-5-21-3907137416-1813529781-3723314742-1000UA] (.Facebook Inc..) -- C:\Users\Stef\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096]
[MD5.00000000000000000000000000000000] [APT] [{007625CF-DF4F-4CF0-8505-D4448CD20550}] (...) -- C:\Users\Stef\Downloads\HBLOG_v3.2.2.1 (2).exe (.not file.) [0] => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{3128D07B-31BA-4E07-B34E-53F60B043B1D}] (...) -- C:\Users\Stef\Downloads\HBLOG_v3.2.2.1.exe (.not file.) [0] => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{52A18687-788C-4B44-848F-6A62D4B03B3A}] (...) -- C:\Users\Stef\Downloads\HBLOG_v3.2.2.1 (2).exe (.not file.) [0] => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{8DC6B981-244B-416A-8D78-047B21CA0738}] (...) -- C:\Users\Stef\Downloads\HBLOG_v3.2.2.1 (2).exe (.not file.) [0] => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{A35F57FA-1FFF-4602-A889-3A3D84C30B55}] (...) -- C:\Users\Stef\Downloads\HBLOG_v3.2.2.1.exe (.not file.) [0] => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{A39F5815-8FD1-46D8-8FD7-8D94A10D3725}] (...) -- C:\Users\Stef\Downloads\HBLOG_v3.2.2.1 (1).exe (.not file.) [0] => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{C7814431-3256-4456-9742-A1F42664C4FD}] (...) -- C:\Users\Stef\Downloads\HBLOG_v3.2.2.1 (2).exe (.not file.) [0] => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{F6E4F364-5696-423A-8E70-9B225779F3A8}] (...) -- C:\Users\Stef\Downloads\HBLOG_v3.2.2.1 (2).exe (.not file.) [0] => Fichier absent
O39 - APT: FacebookUpdateTaskUserS-1-5-21-3907137416-1813529781-3723314742-1000Core - (.Facebook Inc..) -- C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3907137416-1813529781-3723314742-1000Core.job [902] => Facebook Update Task User
O39 - APT: FacebookUpdateTaskUserS-1-5-21-3907137416-1813529781-3723314742-1000Core - (.Facebook Inc..) -- C:\Windows\System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3907137416-1813529781-3723314742-1000Core [902] => Facebook Update Task User
O39 - APT: FacebookUpdateTaskUserS-1-5-21-3907137416-1813529781-3723314742-1000UA - (.Facebook Inc..) -- C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3907137416-1813529781-3723314742-1000UA.job [924] => Facebook Update Task User
O39 - APT: FacebookUpdateTaskUserS-1-5-21-3907137416-1813529781-3723314742-1000UA - (.Facebook Inc..) -- C:\Windows\System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3907137416-1813529781-3723314742-1000UA [924] => Facebook Update Task User
O43 - CFD: 31/01/2013 - 16:24:36 - [0] --HAD C:\Users\Stef\AppData\Local\slKvhQCtlPFpfb0 => Empty Folder not necessary
O44 - LFC:[MD5.B863692A35515891003C2B6A508E2CB5] - 18/05/2015 - 20:26:42 ---A- . (...) -- C:\Windows\DirectX.log [754] => Fichiers de rapport (Log)
O51 - MPSK:{e82da1a8-6320-11e2-8cee-88ae1d956dda}\AutoRun\command. (...) -- G:\autorun.exe (.not file.) => Microsoft Windows NT or Infection USB

2/ Frst correctif

Frst Correction

/!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur,
si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls

Copie colle le fichier fixlist.txt au même endroit que FRST.exe
Comme sur la capture ci-dessous



Maintenant
Lance FRST.exe, puis clique sur "FIX"
Laisse l'outil faire son job, c'est normalement assez rapide.
Poste le rapport Fixlog.txt quand celui-ci est obtenu

Voici le script pour le fichier fixlist,

copie colle ces lignes en bleues dans le bloc note, puis nomme ce fichier fixlist.txt

start
Task: {1491EA62-65D3-47C0-B76C-326C3CB5641C} - System32\Tasks\{007625CF-DF4F-4CF0-8505-D4448CD20550} => C:\Users\Stef\Downloads\HBLOG_v3.2.2.1 (2).exe
C:\Users\Stef\Downloads\HBLOG_v3.2.2.1 (2).exe
C:\Users\Stef\Downloads\HBLOG_v3.2.2.1 (1).exe
C:\Users\Stef\Downloads\HBLOG_v3.2.2.1.exe
Task: {325243A4-167A-4774-A071-2B40869A4183} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3907137416-1813529781-3723314742-1000Core => C:\Users\Stef\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-06-12] (Facebook Inc.)
Task: {36A7A875-0BC5-40BD-9C59-88F2FFBD41CA} - System32\Tasks\{52A18687-788C-4B44-848F-6A62D4B03B3A} => C:\Users\Stef\Downloads\HBLOG_v3.2.2.1 (2).exe
C:\Users\Stef\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-06-12] (Facebook Inc.)
Task: {463AC6C6-F591-4F7C-96A9-6E045BD8195F} - System32\Tasks\{8DC6B981-244B-416A-8D78-047B21CA0738} => pcalua.exe -a "C:\Users\Stef\Downloads\HBLOG_v3.2.2.1 (2).exe" -d C:\Users\Stef\Downloads
Task: {7BB1DECB-065F-4D96-B1DE-62ADD8D58D30} - System32\Tasks\{3128D07B-31BA-4E07-B34E-53F60B043B1D} => C:\Users\Stef\Downloads\HBLOG_v3.2.2.1.exe
Task: {801FB9C9-8085-469A-B4C7-4093D881CE8E} - System32\Tasks\{C7814431-3256-4456-9742-A1F42664C4FD} => C:\Users\Stef\Downloads\HBLOG_v3.2.2.1 (2).exe
Task: {80842E4F-DAE3-4809-953D-DECD19D0E8AA} - System32\Tasks\{F6E4F364-5696-423A-8E70-9B225779F3A8} => C:\Users\Stef\Downloads\HBLOG_v3.2.2.1 (2).exe
Task: {B820E411-D4C9-48DB-B61D-65D33196CAB0} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3907137416-1813529781-3723314742-1000UA => C:\Users\Stef\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-06-12] (Facebook Inc.)
Task: {C25B2F92-169D-416C-9B25-7207FBDE9A85} - System32\Tasks\{A35F57FA-1FFF-4602-A889-3A3D84C30B55} => pcalua.exe -a C:\Users\Stef\Downloads\HBLOG_v3.2.2.1.exe -d C:\Users\Stef\Downloads
Task: {E0F506A1-CA91-4DEB-9795-BBAABB849C53} - System32\Tasks\{A39F5815-8FD1-46D8-8FD7-8D94A10D3725} => pcalua.exe -a "C:\Users\Stef\Downloads\HBLOG_v3.2.2.1 (1).exe" -d C:\Users\Stef\Downloads
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3907137416-1813529781-3723314742-1000Core.job => C:\Users\Stef\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3907137416-1813529781-3723314742-1000UA.job => C:\Users\Stef\AppData\Local\Facebook\Update\FacebookUpdate.exe
C:\Users\Stef\AppData\Local\Facebook\Update\FacebookUpdate.exe
AlternateDataStreams: C:\Windows:nlsPreferences
AlternateDataStreams: C:\Users\Stef\Local Settings:dMKgdlD0DSrgRDJ6J
AlternateDataStreams: C:\Users\Stef\Local Settings:Fme4X4vC1GX9ERZf76gbhp
AlternateDataStreams: C:\Users\Stef\Local Settings:JLdIBURPdIlXtwi0PeWxWHP4L
AlternateDataStreams: C:\Users\Stef\AppData\Local:dMKgdlD0DSrgRDJ6J
AlternateDataStreams: C:\Users\Stef\AppData\Local:Fme4X4vC1GX9ERZf76gbhp
AlternateDataStreams: C:\Users\Stef\AppData\Local:JLdIBURPdIlXtwi0PeWxWHP4L
AlternateDataStreams: C:\Users\Stef\AppData\Local\Application Data:dMKgdlD0DSrgRDJ6J
AlternateDataStreams: C:\Users\Stef\AppData\Local\Application Data:Fme4X4vC1GX9ERZf76gbhp
AlternateDataStreams: C:\Users\Stef\AppData\Local\Application Data:JLdIBURPdIlXtwi0PeWxWHP4L
AlternateDataStreams: C:\Users\Stef\AppData\Local\slKvhQCtlPFpfb0:LAXGcAN4AF3iWVkBpKyRI5
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
hosts:
SelectedSearchEngine: WSE Rocket
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
C:\Program Files (x86)\Pando Networks
file: C:\Program Files (x86)\Browny02\BrYNSvc.exe
file: C:\Windows\System32\Drivers\avy2l26a.sys
U3 avy2l26a; C:\Windows\System32\Drivers\avy2l26a.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero byte File/Folder)
end

Les rapports attendus sont:

• Le rapport zhpfix
• le fixlog

labougie

Message original par Babacoolos

Bonjour,

voilà tout est dans le titre, mon disque dur perd de l'espace au fil des jours.

Quand je le scan avec WinDirStat j'ai un espace inconnu de 14.5 Go.

En faisant un nettoyage des fichiers systèmes via Nettoyage de Windows (points de restauration, nettoyage de Windows update ...), j'arrive à récupérer de l'espace mais dans les 3 à 4 semaines plus tard il faut recommencer.

Mes recherches sur google n'ont pas été fructueuses c'est pourquoi je me tourne vers vous

Merci d'avance aux personnes qui se pencheront sur mon problème.

Windows 7 à jour, et c'est mon disque système.

Stéphane.

Bonjour,

Une idée, comme ça en passant, avant de passer à "l'artillerie lourde" !... Deux énormes consommateur d'espace disque qui bouffent de l'espace à l'insu du plein gré de l'utilisateur :

1- Les points de restauration système (avec "CCleaner", dans "Outils" on peut les voir et supprimer les plus anciens [ce qui n'est pas le cas du module de restauration système de Windows, qui supprime tout ou rien])... ça ne sert à rien de les conserver. Ne garder que les 2 ou 3 plus récents (si on est sûr de n'avoir pas vérolé le système au moment où ils ont été créés)... Pour exemple, sur la machine avec laquelle j'écris ici, chaque nouveau point de restauration me bouffe à peu près 3Go (mais j'ai pas mal de softs installés)... et après les M. à J. mensuelles de Windows 7, comme je les fais en plusieurs vagues, je me retrouve facilement avec 5 ou 6 nouveaux points de restauration... Sans compter ceux qui se font ensuite régulièrement avec les M. à J. de Windows Defender... plus les installations/désinstallation courantes !... ça finit par faire "du monde" !

2- "hyberfil.sys"... également gros consommateur d'espace... Il "antémémorise" l'état du système à chacune de ses entrées en veille prolongée. C'est un fichier caché du système qui se trouve, comme son nom l'indique, sur la partition Système, à sa racine (en général, C:\)... ce qui à la longue occupe beaucoup d'espace disque... (* Pour le voir, il faut bien sûr "démasquer" les fichiers/dossiers cachés, ainsi que les fichiers protégés du système => Panneau de config. > Options des dossiers > Affichage > décocher : Masquer les fichiers protégés du système > confirmer... Les "remasquer" par la suite, c'est plus prudent !).

Voir le tuto de PCA pour le désactiver ICI ... Ceci ne désactive pas la mise en veille, pas de panique.

Salut,

Sans réponse, je clos le topic.

labougie

Bonsoir Labougie,

de retour de weekend je me suis attelé à ce que tu m'as demandé.

J'espère qu'il n'est pas trop tard en voyant ton message du dessus.

Je post les 2 rapports à la suite.

J'ai une question concernant Nero, comment le désinstaller ? il n’apparaît pas dans Suppression de programme.

Je mets le dossier contenu dans Program Files directement à la corbeille ?

Merci à toi.

Fichier joint : ZHPFixReport.txt

Fichier joint : Fixlog.txt

Salut,

Supprimes les rapports Frst.txt et addition.txt.

Relance Frst et édite de nouveau les rapports Frst.txt & addition.txt

labougie

Je mets les deux nouveaux rapports à la suite.

Fichier joint : FRST.txt

Fichier joint : Addition.txt

Nous continuons nos affaires

Voici les rapports demandés.

Fichier joint : ZHPCleaner.txt