pc extremement lent Fermé

Question

bonjour, je viens faire appel aux expert car mon pc est extrêmement lent que ce soit sur le bureau ou encore sur internet. 
je perds un temps fou car les pages mettent beaucoup de temps a charger. 
je pense donc qu'il y a un ou plusieurs virus mais mon antivirus ne détecte rien, j'ai aussi effectué un coup de ccleaner mais ca na pas changé grands choses. 
pouvez-vous m'aidez a remettre de l'ordre dans tout ca svp, merci. 


Configuration: Windows Vista / Firefox 3.0.5

Utilisateur anonyme · Answer

bonsoir,

teleharge dans un premier temps RSIT et fais l'analyse , poste les 2 rapports sur le site "www.cijoint.fr"

merci .

audrey · Answer

je fais ca de ce pas.
merci

Utilisateur anonyme · Answer

il n'y en a que pour quelques minute , reste sur le forum pour eviter les interruption . 
merci .

audrey · Answer

oui je reste sur le forum mais ca risque de prendre un peu plus de temps vu la lenteur de mon ordinateur, est-ce normal si après avoir lancer l'application "RISK" j'ai un petite fenêtre avec ecrit "listing event logs"  et que ma barre est presque pleine mais ca fait quelque minutes quelles reste au même endroit ?

Utilisateur anonyme · Answer

oui , attend un peu . 

telecharge ad-aware , on peut en avoir besoin et vu que l'ordi est lent , ce sra mieux .

audrey · Answer

voila les rapports
 
http://www.cijoint.fr/cjlink.php?file=cj201005/cij9PQiqj9.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cijI9Bk6Co.txt

en attendant votre réponse. merci

audrey · Answer

j'ai déjà ad-ware j'ai fait une analyse astucieuse cet après-midi et il n'a rien trouvé

Utilisateur anonyme · Answer

les 3/4 des processus ne s'execute pas dans le bon repertoir mais comment modifier ca ???

la , je dois avoué que ce n'est meme pas lé au virus , enfin je crois , dsl mais la , je suis depasser ...

je vais me renseigner .

encore desolé .

audrey · Answer

ah d'accord ca n'a pas l'air facile en effet
j'attend sur le forum comme ca si vous trouvez une solution je serais la.
merci quand même.

audrey · Answer

peut-être un defragmentation peut faire l'affaire?? 
bien que j'en ai déjà effectué par le passé et en plus ca prend un temps considérable.

Utilisateur anonyme · Answer

non , c'est des fichiers systemes qui ne tournent pas dans le fichier qu'il faut (systeme32)...

audrey · Answer

d'accord, tenez moi au courant si vous avez du nouveau 
merci.

rafiz · Answer

Un peu d entretien ne lui ferai pas mal, defragmentation, nettoyage du registre, menage dans les appli inutilisées, tri dans les viseos/photos/etc...
Regarder que le MSCONFIG ne soit pas trop chargé...( et surtout virer vista xD)

Utilisateur anonyme · Answer

a non !! bonne nouvelle ! 
je me suis planté ! tout ce que j'ai vu est normale , c'est les nouveaux paramètres et blablabla et blablabla ...

certe , un coup de nettoyage ne lui ferait pas de mal ...(defragler, ccleaner...)

telecharge mbam et lance le scan , poste moi le rapport .
ainsi que spybot qui je l'espere trouvera quelque chose . 

bonne chance  .

kalimusic · Answer

Bonsoir audrey,

Ton PC est infecté par des malwares qui se propagent par supports amovibles.

Durant la désinfection, il est préférable de ne pas :

1. Ajouter de programmes à ton PC
2. Utiliser d'outil de désinfection de ta propre initiative
3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours

Il est préférable de terminer la procédure même si ton PC semble aller mieux.

N'hésite pas à me faire part d'éventuelles difficultés dans les manipulations demandées.

****
Afin de permettre aux outils de désinfection de travailler correctement, on doit désactiver l'UAC 

https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

****

Pendant la durée de la procédure, tu dois désactiver le module Tea Timer de Spybot S&D sous peine de faire échouer la désinfection.
https://www.commentcamarche.net/telecharger/securite/20939-spybot-search-and-destroy/

****

Télécharge et installe UsbFix   (par El Desaparecido, C_XX & Chimay8) sur le Bureau   
    ! ! Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir !!   
    * Double clique sur l'icône UsbFix présent sur le bureau pour lancer l'outil  
      Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * Au menu principal choisis F pour français et valide par Entrée   
    * Choisis l'option 1 "Recherche"   
    * Patiente le temps du balayage qui peut durer plusieurs minutes   
    * Le rapport doit s'ouvrir spontanément à la fin du scan   
    * Copie/colle le rapport dans le prochain message   
   
Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.  
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus Avast & Ad Adware   

A +

audrey · Answer

dsl j'etais en train de manger je viens de lancer la recherche d'usbfix 
merci de votre aide.

audrey · Answer

voici le rapport d'usbfix


############################## | UsbFix V6.111 |

User : audrey (Administrateurs) # PC
Update on 03/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 21:56:36 | 06/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T7100  @ 1.80GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6000 32-bit) # 
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886587 [ Enabled | Updated ]

C:\ -> Disque fixe local # 85,33 Go (42,99 Go free) [VistaOS] # NTFS
D:\ -> Disque fixe local # 56,88 Go (32,23 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
K:\ -> Disque amovible # 241,97 Mo (198,08 Mo free) # FAT32

################## | Elements infectieux |

K:\msvcr71.dll  
K:\bittorrent.exe  
K:\filesystem\Desktop.ini  
K:\filesystem  
K:	mp.folder  

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MSConfig"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\L
shell\AutoRun\command =L:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{0f25ea7d-b284-11dd-907d-001bfcf38ae6}
shell\Auto\command =H:\bittorrent.exe e
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\bittorrent.exe e

HKCU\..\..\Explorer\MountPoints2\{3587e91d-38ba-11de-bda7-001bfcf38ae6}
shell\AutoRun\command =L:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{65901cd8-cc52-11de-98f9-001bfcf38ae6}
shell\AutoRun\command =J:\LaunchU3.exe -a

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.111 ! |

kalimusic · Answer

Bonsoir audrey, 

Pas de soucis, tu réponds quand tu peux....et moi aussi ;-) 

1. UsbFix2 

Ferme toutes tes applications en cours   

!! Désactive la protection résidente de ton anti-virus et des anti-spywares!!   

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir   

    * Relance UsbFix en choisissant maintenant l'option 2 "Suppression"   
      Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
    * Le bureau va disparaître et le système va redémarrer   
    * Au redémarrage, UsbFix scanne ton pc, laisse travailler l'outil.   
    * Le rapport doit s'ouvrir spontanément à la fin du nettoyage   
    * Copie/colle le rapport dans le prochain message   

2.  Télécharge  ATF  (par A-Tribune) sur le bureau et lance le en double cliquant sur son icône. 
Sous Vista/Seven, clic-droit "Exécuter en tant qu'administrateur" 

    * Coche Select All 
    * Clique sur Empty Selected 
    * Clique sur OK dans la boite de dialogue Done cleaning! 
    * Si tu utilises un autre navigateur que IE, choisis ton navigateur dans l'onglet du haut (Firefox ou Opera ) 
    * Coche Select All 
(Si tu souhaites conserver les mots de passe sauvegardés, clique Non à l'invite) 
    * Clique sur Empty Selected 
    * Accepte de tout supprimer en cliquant sur OK 

Cet outil ne donne pas de rapport, il sert à préparer le passage du logiciel suivant. 

3. Télécharge MBAM  et installe le selon l'emplacement suivant C:\Program Files\MalwareBytes'Anti-Malware 
    * Effectue la mise à jour et lance Malwarebytes' Anti-Malware 
    * Clique dans l'onglet du haut "Recherche" 
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"  
* Choisis de scanner tous tes disques durs, puis clique sur Rechercher" 

A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément 

Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats" 
    * Choisis l'option "Supprimer la sélection" 
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui" 
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs" 
    * Sinon le rapport s'ouvre automatiquement après la suppression. 

Quelque soit le résultat, copie/colle le rapport dans le prochain message 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

audrey · Answer

alors voici le rapport d'usbfix 2 


############################## | UsbFix V6.111 |

User : audrey (Administrateurs) # PC
Update on 03/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 22:41:41 | 06/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T7100  @ 1.80GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6000 32-bit) # 
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886587 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 85,33 Go (42,48 Go free) [VistaOS] # NTFS
D:\ -> Disque fixe local # 56,88 Go (32,23 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
K:\ -> Disque amovible # 241,97 Mo (198,08 Mo free) # FAT32

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-20 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1398992484-1173926315-1388464429-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1398992484-1173926315-1388464429-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2152478756-3922319563-605102323-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-4166659471-477811567-471052203-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-20 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1398992484-1173926315-1388464429-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1398992484-1173926315-1388464429-500 
Supprimé ! K:\msvcr71.dll 
Supprimé ! K:\bittorrent.exe 
Supprimé ! K:\filesystem\Desktop.ini 
Supprimé ! K:\filesystem 
Supprimé ! K:	mp.folder 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\L\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{0f25ea7d-b284-11dd-907d-001bfcf38ae6}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{3587e91d-38ba-11de-bda7-001bfcf38ae6}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{65901cd8-cc52-11de-98f9-001bfcf38ae6}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[02/11/2006 14:41|--a------|225280] C:\$$DeleteMe.tquery.dll.mui.01c821d2c20f4df9.0000 
[06/05/2010 22:40|--a------|84510] C:\aaw7boot.log 
[28/07/2006 02:34|--a------|2076] C:\ASUS_17440021.icm 
[18/09/2006 23:43|--a------|24] C:\autoexec.bat 
[02/11/2006 11:53|-rahs----|438840] C:\bootmgr 
[18/04/2007 11:26|-ra-s----|8192] C:\BOOTSECT.BAK 
[04/04/2007 06:01|--a------|19] C:\CA12.txt 
[18/09/2006 23:43|--a------|10] C:\config.sys 
[17/04/2007 06:53|-rah-----|1048576] C:\F3Sc.BIN 
[19/04/2007 14:13|--a------|15] C:\F3SC_F3SV_VISTA.10 
[17/04/2007 06:50|-rah-----|1048576] C:\F3Sv.BIN 
[07/11/2007 03:55|--a------|9] C:\Finish.log 
[20/01/2008 17:01|-rahs----|0] C:\IO.SYS 
[20/01/2008 17:01|-rahs----|0] C:\MSDOS.SYS 
[?|?|?] C:\pagefile.sys 
[13/03/2007 05:02|--a------|12] C:\RECOVERY.DAT 
[07/11/2007 03:30|--a------|372] C:\RHDSetup.log 
[06/05/2010 22:48|--a------|2933] C:\UsbFix.txt 
[02/06/2008 11:50|--a------|162] C:\YServer.txt 
[14/12/2008 16:58|--ahs----|285696] D:\ehthumbs_vista.db 
[23/04/1999 23:22|-r-hs----|222390] K:\IO.SYS 
[23/04/1999 23:22|-r-hs----|9] K:\MSDOS.SYS 
[23/04/1999 23:22|-r-hs----|93890] K:\COMMAND.COM 
[01/02/2009 13:02|--a------|819011] K:\PICT4425.JPG 
[31/01/2009 19:17|--a------|795536] K:\PICT4390.JPG 
[30/01/2009 14:13|--a------|793649] K:\PICT4253.JPG 
[24/06/2009 17:00|--a------|2486167] K:\P6240080.JPG 
[24/06/2009 17:18|--a------|2521832] K:\P6240089.JPG 
[13/11/2009 18:09|--a------|229762] K:\hist geo-c3.pdf 
[08/10/2009 17:13|--a------|3649524] K:\marie & audrey.wav 
[08/10/2009 17:16|--a------|3175468] K:\R09_0078.wav 
[09/01/2010 06:57|--a------|35840] K:\cours8.doc 
[09/01/2010 06:58|--a------|36352] K:\cours9.doc 
[09/01/2010 06:59|--a------|33280] K:\cours12.doc 
[03/02/2010 08:56|--a------|100929] K:\levier1.pdf 
[03/02/2010 08:57|--a------|135759] K:\levier2.pdf 
[09/01/2010 07:01|--a------|29184] K:\IMP R'voL-Empire1.xls 
[03/02/2010 08:57|--a------|165691] K:\levier3.pdf 
[23/09/2009 10:33|---h-----|27648] K:\~WRL1710.tmp 
[03/02/2010 08:56|--a------|6795694] K:\C13_Transmissiondemouvement-ERREUR!.pdf 
[03/02/2010 09:42|--a------|174194] K:\levier4-problSme!.pdf 
[19/04/2010 00:11|--a------|33280] K:\mail europan 10.doc 
[09/11/2008 18:55|--a------|38912] K:\IMP LES PAYSAGES RURAUX EN FRANCE.doc 
[20/01/2010 21:02|--a------|49152] K:\IMP Outils d'analyse du texte dramatique.doc 
[03/02/2010 09:45|--a------|340480] K:\IMP correction mineure svt mars 09.doc 
[09/01/2010 06:59|--a------|25088] K:\IMP cours 11.doc 
[09/01/2010 06:58|--a------|31744] K:\IMP cours10.doc 
[03/10/2008 18:43|--a------|38912] K:\IMP Les espaces fran#ais.doc 
[03/02/2010 09:44|--a------|685056] K:\IMP Corrig'  question de mineure SVT d'cembre 2008.doc 
[20/01/2010 21:01|--a------|38400] K:\IMP Quelques caract'ristiques des 'critures th'ftrales contemporaines.doc 
[29/03/2010 00:33|--a------|87040] K:\Validation-PE1-Audrey GIRARD.doc 
[18/04/2010 23:43|--a------|148992] K:\E10 FORRES PROGR 140410.FR.doc 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# K:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.111 ! |


je continue le reste

audrey · Answer

Je viens de lancer le scan complet avec MBAM.
Je poste le rapport dès que c'est fini bien que ca va être un peu long je pense.
En tout cas merci pour votre aide et votre temps a m'accorder.

kalimusic · Answer

audrey,
As-tu envoyé le fichier C:\UsbFix_Upload_Me_PC.zip  à cette adresse https://www.ionos.fr/?affiliate_id=77097  ? Si tu ne l'as pas encore fait, je t'encourage à le faire, afin de participer à l'amélioration de l'outil, merci de ta contribution.

En attendant le rapport de Malwarebytes, A +

audrey · Answer

oui je l'ai fait. Le scan n'est toujours pas fini mais il a déjà trouvé un élément infecté

audrey · Answer

voici le rapport MBAM 

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4073

Windows 6.0.6000
Internet Explorer 8.0.6001.18904

07/05/2010 00:34:15
mbam-log-2010-05-07 (00-34-15).txt

Type d'examen: Examen complet (C:\|D:\|K:\|)
Elément(s) analysé(s): 269504
Temps écoulé: 1 heure(s), 39 minute(s), 34 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
C:\Program Files\PermissionResearch\prservice.exe (Spyware.PermissionResearch) -> No action taken.

Module(s) mémoire infecté(s):
C:\Program Files\PermissionResearch\components\prxg.dll (Spyware.PermissionResearch) -> No action taken.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\PermissionResearch (Spyware.PermissionResearch) -> No action taken.
C:\Program Files\PermissionResearch\components (Spyware.PermissionResearch) -> No action taken.

Fichier(s) infecté(s):
C:\UsbFix\Quarantine\K\bittorrent.exe.UsbFix (Worm.RJump) -> No action taken.
C:\Program Files\PermissionResearch\chrome.manifest (Spyware.PermissionResearch) -> No action taken.
C:\Program Files\PermissionResearch\install.rdf (Spyware.PermissionResearch) -> No action taken.
C:\Program Files\PermissionResearch\prls.dll (Spyware.PermissionResearch) -> No action taken.
C:\Program Files\PermissionResearch\proci.bin (Spyware.PermissionResearch) -> No action taken.
C:\Program Files\PermissionResearch\prph.dll (Spyware.PermissionResearch) -> No action taken.
C:\Program Files\PermissionResearch\prservice.exe (Spyware.PermissionResearch) -> No action taken.
C:\Program Files\PermissionResearch\prxf.dll (Spyware.PermissionResearch) -> No action taken.
C:\Program Files\PermissionResearch\components\prxg.dll (Spyware.PermissionResearch) -> No action taken.

que dois-je faire ??

audrey · Answer

après avoir cliquer sur" supprimer la sélection" j'ai un autre rapport que voici:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4073

Windows 6.0.6000
Internet Explorer 8.0.6001.18904

07/05/2010 00:37:03
mbam-log-2010-05-07 (00-37-03).txt

Type d'examen: Examen complet (C:\|D:\|K:\|)
Elément(s) analysé(s): 269504
Temps écoulé: 1 heure(s), 39 minute(s), 34 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
C:\Program Files\PermissionResearch\prservice.exe (Spyware.PermissionResearch) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\Program Files\PermissionResearch\components\prxg.dll (Spyware.PermissionResearch) -> Delete on reboot.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\PermissionResearch (Spyware.PermissionResearch) -> Delete on reboot.
C:\Program Files\PermissionResearch\components (Spyware.PermissionResearch) -> Delete on reboot.

Fichier(s) infecté(s):
C:\UsbFix\Quarantine\K\bittorrent.exe.UsbFix (Worm.RJump) -> Quarantined and deleted successfully.
C:\Program Files\PermissionResearch\chrome.manifest (Spyware.PermissionResearch) -> Quarantined and deleted successfully.
C:\Program Files\PermissionResearch\install.rdf (Spyware.PermissionResearch) -> Quarantined and deleted successfully.
C:\Program Files\PermissionResearch\prls.dll (Spyware.PermissionResearch) -> Quarantined and deleted successfully.
C:\Program Files\PermissionResearch\proci.bin (Spyware.PermissionResearch) -> Quarantined and deleted successfully.
C:\Program Files\PermissionResearch\prph.dll (Spyware.PermissionResearch) -> Quarantined and deleted successfully.
C:\Program Files\PermissionResearch\prservice.exe (Spyware.PermissionResearch) -> Quarantined and deleted successfully.
C:\Program Files\PermissionResearch\prxf.dll (Spyware.PermissionResearch) -> Quarantined and deleted successfully.
C:\Program Files\PermissionResearch\components\prxg.dll (Spyware.PermissionResearch) -> Delete on reboot.

kalimusic · Answer

audrey

Comment se comporte le PC maintenant ?

Il y a aussi des restes d'un ancien antivirus Symantec/Norton

1. Télécharge OTM   (de Old_Timer) sur le bureau 

    * Lance l'outil en faisant un double clic sur l'icône OTM 
    * La fenêtre principale de l'outil s'ouvre : 
    * Copie la liste en citation ci-dessous et colle-la dans le cadre "Paste instructions for Items to be Moved" 

:Files 
C:\Program Files\Common Files\Symantec Shared
C:\ProgramData\Symantec 

:Services 
CLTNetCnService
PermissionResearch

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
""= -

:Commands 
[emptytemp]
    * Clique sur MoveIt ! pour lancer la suppression 
    * A la fin du processus le PC va redémarrer 
    * Poste le rapport dans qui se trouve dans le répertoire suivant C:\_OTM\MovedFile   


2. Exécute HijackThis (ce logiciel a été installé par l'outil de diagnostic rsit, tu peux le retrouver ici : C:\Program Files\Trend Micro)
- Sous Vista  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 

    * Dans la fenêtre principale "Main Menu" clique sur le bouton "None of the above, just start the program"
    * Clique sur le bouton Scan (dans le sous-menu Scan & fix stuff)
    * Après le balayage, coche les cases des lignes indiquées si toujours présentes : 

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O3 - Toolbar: WalterShop - {9ec204df-0e48-4c32-816e-2e928a4fd9c2} - mscoree.dll (file missing)     
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)     
O23 - Service: PermissionResearch - PermissionResearch - C:\Program Files\PermissionResearch\prservice.exe    
 ! Ferme toutes les applications en cours et surtout le navigateur Internet !

    * Clique ensuite sur le bouton Fix checked (dans le sous-menu Scan & fix stuff)
    * Répond "Oui" dans la fenêtre d'avertissement, referme le programme après la suppression. 

3. Relance en tant qu'administrateur RSIT, cette fois tu n'auras qu'un fichier log.txt à héberger sur http://www.cijoint.fr/

A +

audrey · Answer

voici le rapport OTM

All processes killed
========== FILES ==========
C:\Program Files\Common Files\Symantec Shared\CCPD-LC folder moved successfully.
C:\Program Files\Common Files\Symantec Shared folder moved successfully.
C:\ProgramData\Symantec\LiveUpdate folder moved successfully.
C:\ProgramData\Symantec\Definitions folder moved successfully.
C:\ProgramData\Symantec folder moved successfully.
========== SERVICES/DRIVERS ==========
Service CLTNetCnService stopped successfully!
Service CLTNetCnService deleted successfully!
Service PermissionResearch stopped successfully!
Service PermissionResearch deleted successfully!
========== REGISTRY ==========
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\""| - /E : value set successfully!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: audrey
->Temp folder emptied: 181585 bytes
->Temporary Internet Files folder emptied: 5367538 bytes
->Java cache emptied: 62377049 bytes
->FireFox cache emptied: 39715794 bytes
->Google Chrome cache emptied: 77982011 bytes
->Flash cache emptied: 6993 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Mcx1
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 35148 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 31616376 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 7619803 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 215,00 mb
 
 
OTM by OldTimer - Version 3.1.12.0 log created on 05072010_111525

Files moved on Reboot...
Folder move failed. C:	rzBCA.tmp scheduled to be moved on reboot.
File move failed. C:\Windows	emp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

dj-lu · Answer

ton antivirus n'est pas a jours j'ai eux le même probléme

audrey · Answer

voici le rapport RSIT

http://www.cijoint.fr/cjlink.php?file=cj201005/cijMQ6rpqX.txt

audrey · Answer

après avoir fait le scan RSIT 
j'ai windows defender qui a dectecté plusieurs fichiers infecté ainsi qu'avast qui a aussi détecté beaucoup de fichiers infecté.
j'ai security essential 2010 qui venu de nulle part a commencé a scan et trouvé pas mal de fichiers infectés. 
une solution ??

kalimusic · Answer

Bonjour audrey, 

1. Tu n'as pas répondu à ma question : 
Comment se comporte le PC maintenant ?  

2. Connais-tu le logiciel qui se trouve dans ce dossier ? 
C:\Program Files\Yacc  

dans la négative, fait ceci stp : 

Télécharge SystemLook  de jpshortstuff 

    * Double-clique sur SystemLook.exe pour l'exécuter 
 Sous Vista  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
    * Copie les lignes suivantes dans le champ texte principal : 

: Dir 
C:\Program Files\Yacc /s
    * Clique sur le bouton Rechercher pour démarrer le scan. 
    * Lorsque c'est terminé, une fenêtre Bloc-notes s'ouvre avec les résultats de l'analyse. 
    * Copie/colle le rapport dans le prochain message 

Le rapport SystemLook.txt se trouve également sur le Bureau 

3. Tu as installé plusieurs barres d'outils  
Les toolbars c'est pas obligatoire!  
Fait un tri dans celles qui te sont vraiment utiles car elle freinent inutilement la navigation. Désinstalle les autres. 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

audrey · Answer

bonjour kalimusic 

mon pc se comporte un poil mieux mais rien de transcendant,
je pense qu'il y a encore d'autre probleme 
sinon le programme yacc est un logiciel pour psp (convertisseur iso/cso ).
et j'au aussi security essential 2010 qui m'ouvre plein de fenetre message en disant que mon pc est menacé et donc me propose d'acheter la license, est-ce que c'est un virus ou autre ??

kalimusic · Answer

Oui c'est un un rogue (faux logiciel de sécurité) mais il n'était pas là hier lors du passage de Malwarebytes et non plus à 11:43 lorsque tu as fait le rapport rsit !!
Tu as fait quoi entre temps ?

1. Télécharge rkill (de Grinler) sur le bureau.

!! Ne pas tenir compte des messages du rogue disant que rkill est infecté !!

    * Double-clique sur le rkill.exe pour arrêter les processus malveillants du ou des rogues.
Si entre temps tu as rétablit l'UAC,  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel
    * Patiente pendant le travail de l'outil (le programme cherche et termine les programmes malveillants)
    * A la fin, la fenêtre noire va se fermer automatiquement et tu peux passer à l'étape suivante. 

Si rkill ne se lance pas, essaye les liens alternatifs suivants
http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com 

!! Ne redémarre pas l'ordinateur après l'exécution de rkill sinon les programmes malveillants vont recommencer !!

2. Relance comme hier le logiciel Malwarebytes, très important : Effectue la mise à jour, ensuite choisis  Exécuter un examen rapide
Copie/colle le rapport de suppression

A +

audrey · Answer

voici le rapport 

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4074

Windows 6.0.6000
Internet Explorer 8.0.6001.18904

07/05/2010 13:07:05
mbam-log-2010-05-07 (13-07-05).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 120549
Temps écoulé: 11 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 10
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Windows\System32\helpers32.dll (Trojan.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\SE2010 (Rogue.Securityessentials2010) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\security essentials 2010 (Rogue.SecurityEssentials) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: c:\windows\system32\winlogon32.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\winlogon32.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\Windows\system32\winlogon32.exe) Good: (userinit.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\Securityessentials2010 (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Windows\System32\helpers32.dll (Trojan.Agent) -> Delete on reboot.
C:\Program Files\Securityessentials2010\SE2010.exe (Rogue.SecurityEssentials) -> Quarantined and deleted successfully.
C:\Windows\System32\warnings.html (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\audrey\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
C:\Users\audrey\AppData\Roaming\Microsoft\Windows\Start Menu\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
C:\Windows\System32\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\System32\Winlogon32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\audrey\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.


je redémarre le pc car il n'a pas pu tout enlever sans redémarrer

kalimusic · Answer

re,

Comment se comporte le PC après le passage de Malwarebytes ?

Effectue un scan en ligne en suivant ce tutoriel :
https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky
Utilise le lien alternatif de téléchargement et sauvegarde le rapport au format texte que tu hébergeras ici : http://www.cijoint.fr/

A +

audrey · Answer

le pc se comporte un peu mieux, j'ai lancer la scan en ligne 
je poste le rapport dès que c'est terminé

audrey · Answer

voici le rapport de kaspersky en ligne :

http://www.cijoint.fr/cjlink.php?file=cj201005/cij7R3G3ST.txt

kalimusic · Answer

Bonjour,

1. Télécharge Erunt il va nous servir à faire une sauvegarde du registre avant les manipulations qui suivent.
Installe le et fait une sauvegarde comme indiqué ici (merci philae) : https://forum.pcastuces.com/default.asp

   2. Relance OTM en tant qu'administrateur 
    * La fenêtre principale de l'outil s'ouvre :  
    * Copie la liste en citation ci-dessous et colle-la dans le cadre "Paste instructions for Items to be Moved"  

:Files  
C:\Users\audrey\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XPSXIWO5 

:Reg 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
"ehTray.exe"="C:\Windows\ehome\ehTray.exe"
"EPSON SX100 Series"="C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE" 

:Commands  
[emptytemp]
    * Clique sur MoveIt ! pour lancer la suppression  
    * A la fin du processus le PC va redémarrer  
    * Poste le rapport dans qui se trouve dans le répertoire suivant C:\_OTM\MovedFile    

(merci à gen-hackman pour la manip)

A +

audrey · Answer

voila le rpport de OTM:

All processes killed
========== FILES ==========
C:\Users\audrey\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XPSXIWO5 folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"SpybotSD TeaTimer"|"C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" /E : value set successfully!
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"ehTray.exe"|"C:\Windows\ehome\ehTray.exe" /E : value set successfully!
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"EPSON SX100 Series"|"C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE" /E : value set successfully!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: audrey
->Temp folder emptied: 109578097 bytes
->Temporary Internet Files folder emptied: 7743029 bytes
->Java cache emptied: 128094 bytes
->FireFox cache emptied: 43729643 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 2144 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Mcx1
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 140592 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 154,00 mb
 
 
OTM by OldTimer - Version 3.1.12.0 log created on 05082010_115641

Files moved on Reboot...
Folder move failed. C:	rzBCA.tmp scheduled to be moved on reboot.
File C:\Windows	emp\_avast5_\Webshlock.txt not found!
C:\Windows	emp\lpksetup-20100508-120155-0.log moved successfully.

Registry entries deleted on Reboot...

kalimusic · Answer

audrey,

Si tout va bien pour toi aussi, on continue :

1. On va désinstaller les outils utilisés car ils ne peuvent pas rester sur ton système.     

Télécharge Tools Cleaner (par A.Rothstein & dj QUIOU) sur le bureau et exécute le en faisant clic-droit "Exécuter en tant qu'administrateur" sur l'icône.  

* Clique sur Recherche et laisse le scan se terminer     
* Clique ensuite sur Suppression     
* Clique sur Quitter, pour que le rapport puisse se créer     
* Poste le dans ton prochain message     

Le rapport (TCleaner.txt) se trouve à la racine du disque dur (C:\)     

* Relance Tools cleaner en tant qu'administrateur
* Clique sur le bouton Pt Restauration, puis successivement sur OK dans les boites de dialogue pour créer un nouveau point de restauration du système.  
* Supprime Tools cleaner ainsi que les autres outils restant sur le bureau 

2. Nous allons maintenant supprimer les anciens points de restauration pour finir le nettoyage.     

* Clique sur Poste de travail, puis fait un clic droit sur le disque dur principal (en général C:/) 
    * Clique sur Propriétés 
Dans la fenêtre qui s'ouvre dans l'onglet général 
    * Clique sur Nettoyage de disque 
Dans la boîte de dialogue suivante, choisis Les fichiers de tous les utilisateurs
    * Clique sur Continuer 
Une boîte de dialogue te demande de patienter le temps du calcul, une nouvelle fenêtre va s'ouvrir.
    * Choisit onglet Autres options puis l'item "supprimer tous les points de restauration à l'exception du plus récent", puis Supprimer
    * Valide ensuite en cliquant sur OK
    * Ferme ensuite la fenêtre Nettoyage de disque en cliquant sur OK

3. Si tu ne l'as pas encore fait, tu peux réactiver L'UAC

A + pour la dernière étape

Pc extremement lent

39 réponses