Ralentissement pc et virus?

Question

Bonjour, 

Je suis nouvelle sur le forum et souhaiterai avoir de l'aide pour récupérer un pc vierge de tout virus, vers, Troie etc...

Mon pc est très ralenti au démarrage malgré Bootvis. Parfois il se met à charger pour je ne sais quelle raison. JE ne peux ouvrir plus de 2 programmes en meme temps sinon il rame  beaucoup trop.

J'ai bitdefender 2009 comme antivirus qui ne m'a rien détecté d'anormal.

Mais j'ai fait un rapport HijackThis que j'ai fais analyser en ligne sur le site offifiel d'hijack et apparemment il est possible que j'ai des Trojans bien cachés.
Je ne sais pas comment faire pour en etre sur, connaitre leurs noms et les enlever s'il y en a.

Merci de l'aide que vous m'apporterez.

Voici mon rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:43, on 22/08/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\USBPlug.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\Orange\Connexion Internet Orange\Launcher\Launcher.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: barre d'outils Orange - {D3028143-6145-4318-99D3-3EDCE54A95A9} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [dscService] C:\WINDOWS\system32\USBPlug.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] "C:\Program Files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://lauriexy1.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O23 - Service: BitDefender Arrakis Server (Arrakis3) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

moment de grace · Answer

bonjour

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

lauriexy1 · Answer

Quand je veux executer en mode administrateur, il me demande un mot de passe??

moment de grace · Answer

tu es xp

double clic dessus, ca devrait le lancer

lauriexy1 · Answer

C'est  ce que j'ai fait, je continue donc la suite et je poste le rapport
Désolée suis pas très douée ;o)

lauriexy1 · Answer

Voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj201008/cij7m5rmOy.txt

moment de grace · Answer

recommence la manip, scan + rapport de zhp stp

le rapport n'est conforme aux attentes

lauriexy1 · Answer

Juju,

J'ai déjà fais tout ça mais aucun effet

Merci de ta réponse

juju du 62 · Answer

en fete , ton pc est len au démlarage car il exécute tou té programme alor quil ne fo que msn et ton antivirus .
avec ccleaner , tu louvre , tu va den outil et den démarage . tu désactive tou ce qui ne sert a rien et tu laisse ton antivirus , msn  et le autres choses que tu utilise au démarage de ton pc . il démarera bocou plu vite .

peu tu donner des info sur ton pc ( procésseur , ram , etc , ...)

moment de grace · Answer

ok pour Ccleaner

lauriexy1


=> https://forums.commentcamarche.net/forum/affich-18921551-ralentissement-pc-et-virus#7

juju du 62 · Answer

pour chercher les virus den ton pc , fé une analyse antivirus avec des antivirus en ligne gratuit comme kaspersky , etc , ...
ccleaner aide le pc a bien fonctionner mé si le pc est aussi len , il fau tenter de rajouter de la ram ou de lapporter a un informatitien mé laddition peu etre salé .

lauriexy1 · Answer

Problème, pendant le scan j'ai un message d'erreur. Si je fais "continuer", le scan se termine. J'enregistre sur le bureau et transmet à "cijoint" qui semble ne pas reconnaitre le fichier et me dit que "je n'ai pas choisit de fichier".
Par contre, quand j'ouvre le site "cijoint" après avoir enregistrer le rapport sur le bureau, "ci joint" me fournit déjà un lien avant meme que je dépose le fichier.
Est-ce celui-là??

juju du 62 · Answer

voici un site qui explique de fon en comble lutilisation et les réglage de ccleaner
https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm
cordialement :)

lauriexy1 · Answer

Voilà :

https://www.cjoint.com/?iwo24GVqw7

moment de grace · Answer

ok c'est bon

..............

pas d'infection visible


DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

ou

http://www.archive-host.com

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre utilise ci joint .com

 

 Fais de même avec more.txt qui se trouve sur ton bureau

lauriexy1 · Answer

Voilà rapport :

https://www.cjoint.com/?iwpEwQeqI6

Et le fichier more.txt :

https://www.cjoint.com/?iwpFIvPd2f

moment de grace · Answer

ok

1)

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
ton PC va redemarrer, 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

........................

2)

Téléchargez USBFIX de El Desaparecido, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

Double clic sur le raccourci UsbFix présent sur le bureau . 

 Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel). 
 Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

 Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

 
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097 

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. 

........................

3)

* Télécharge Defogger 
http://www.jpshortstuff.247fixes.com/Defogger.exe

 => lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé


ensuite

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 


? Télécharge : Gmer (by Przemyslaw Gmerek) 

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre. 

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

lauriexy1 · Answer

Kill'em.txt : https://www.cjoint.com/?iwrbs7I7Ze

Usbfix : https://www.cjoint.com/?iwrdpxYn5v

Gmer en cours, c'est très long !

lauriexy1 · Answer

Et voilà gmer : https://www.cjoint.com/?iwtXwnrU2k

moment de grace · Answer

bon

il n'a rien trouvé

je suppose que tes soucis ont peu évolué ?

lauriexy1 · Answer

Effectivement, il mouline toujours beaucoup au démarrage.
Par exemple, avant de redémarrer, alors que rien n'était ouvert, il chargeait, je ne sais pas quoi, mais il chargeait...
LA bonne nouvelle c'est qu'au moins il n'est pas infecté...

lauriexy1 · Answer

Plus personne?

lauriexy1 · Answer

bon eh bien bonne soirée quand meme...
Merci malgré tout pour l' aide...

moment de grace · Answer

LA bonne nouvelle c'est qu'au moins il n'est pas infecté...

j'ai pas dit ca

mais c'est vrai que je n'ai rien trouvé expliquant les soucis

...................

Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs  sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets provisoirement internet)

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

lauriexy1 · Answer

Bonjour,

Je rattaque donc les instructions pour combofix.

Pour info, mon pc, ce matin, a mis plus de 20min pour charger ce qu'il avait à charger, et encore, j'ai été obligé d'arreter un processus qui me prenait plus 220000 de mémoire, sinon, je crois que j'attendrai encore.

Bref, c'est parti...

A tout à l'heure

lauriexy1 · Answer

Voici le rapport : https://www.cjoint.com/?ixmdqmhRmA

Par contre, il y a eu gros gros bug : 

Combix se déroulait très bien, il a détecté une infection sur le fichier "winlogon", il l'a désinfecté puis fait une suppression de fichier "winlogon.bak (ou bat)". Il a supprimé aussi une url de "youtube".
Puis il a redémarré le pc et là impossible d'ouvrir une session. Un message disait que windows n'était pas activé (???) et me demandait si je souhaitais l'activer. J'ai répondu "oui". Un autre message me dis que windows est déjà activé, je clique "ok" est là il me redéconnecte. Impossible d'ouvrir une session.
J'ai du redémarré en mode sans échec et combifix a pu terminer et faire un rapport. Puis j'ai fait une restauration système à l'heure avant laquelle combifix a démarré.
Donc je ne sais pas si le probleme est résolu vu que windows rame toujours...

lauriexy1 · Answer

Tu es là?

moment de grace · Answer

combofix a trouvé le rootkit qui sévit sur ton pc

je sais qu'il a tendance a beuger

 ces derniers temps....mais il faut le refaire

en restaurant, on restaure l'infection

par contre fais le en mode sans echec cette fois

lauriexy1 · Answer

Cool !

Ok pour le mode sans échec

Juste pour mon info, Il y a t-il un moyen de connaitre le nom de ce rootkit, comment on l'attrappe? Parce qu'il est difficile à trouver ce malin !

a tout à l'heure...

lauriexy1 · Answer

Problème identique en mode sans échec : probleme activation windows.

Donc nouvelle restauration de système ...

Pfff...

moment de grace · Answer

ok

je crois comprendre

Télécharge SEAF ( de C__XX ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe 


* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil. 

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci : 

winlogon.bak



* Au niveau des " options des fichiers ", fait les réglages suivant : 
> A "Calculer le checksum" , choisis : MD5 
> Coche la case devant " Info. supplémentaire ". 
> Coche la case devant " Afficher les ADS " 

* Au niveau des " options du registre " : 
> coche " chercher également dans le registre " 

( ne touche à aucun autre réglage ) 

* Clique sur " Lancer la recherche " et laisse travailler l'outil ... 
( cela peut-être plus ou moins long suivant les cas ). 

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

lauriexy1 · Answer

Voilà :

https://www.cjoint.com/?ixplIzC7FS

moment de grace · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour lauriexy1, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le




KillAll:: 



FCopy:: 

c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\winlogon.exe | c:\windows\system32\winlogon.exe



* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

lauriexy1 · Answer

bon ça n'a pas marché. Au moment du scan, un message me disant que des fichiers avaient été modifiés et qu'il fallait le cd de windows xp (que je n'ai pas bien sur). Le scan a quand meme continué jusqu'au redémarrage de windows, et là, rebelotte, toujours la meme histoire d'activation windows. J'ai terminé combofix en mode sans échec et nouvelle restauration système...

Je te mets au cas ou le rapport combofix, mais bon là je désespère...

https://www.cjoint.com/?ixqGCq32pW

moment de grace · Answer

ok

même manip avec ce texte

KillAll:: 

DEQUARANTINE::

c:\Qoobox\Quarantine\C\WINDOWS\system32\winlogon.bak.vir

lauriexy1 · Answer

Pas de message pendant le scan mais toujours rédémarrage impossible : message me disant d'activer la copie de windows.

Donc re-re-re ... re- restauration (qui est de plus en plus longue soit dit en passant)

moment de grace · Answer

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


c:\windows\system32\winlogon.exe 


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

lauriexy1 · Answer

Voilà ce que me dit le site :

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: 

MD5: 8d52aedd07247b743a4d9bd372f69109 
Date first seen: 2006-12-07 02:50:27 (UTC) 
Date last seen: 2010-04-17 00:20:27 (UTC) 
Detection ratio: 0/40 

What do you wish to do? 

Reanalyse  View last report

moment de grace · Answer

on est vraiment tombé sur un malin semble t il

je te tiens au courant (avis autour de moi)

lauriexy1 · Answer

Voici le rapport :

https://www.cjoint.com/?ixsdWkGE8r

lauriexy1 · Answer

Ah mais moi quand je viens, je ne viens pas pour rien !;o)

Je fais rarement les choses à moitié

J'espère que à vous tous allez sauvez mon pc sinon celui-ci va apprendre à voler et le petit malin aura gagné...

moment de grace · Answer

en attendant des infos

fais cet outil pour rootkit

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
 
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur 
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

lauriexy1 · Answer

https://www.cjoint.com/?ixspefx6EI

moment de grace · Answer

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

lauriexy1 · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4466

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

23/08/2010 20:44:07
mbam-log-2010-08-23 (20-44-07).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 210691
Temps écoulé: 1 heure(s), 23 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{4CBE62A8-AAFF-44F6-BDC8-7C4C7976FEEF}\RP964\A0125476.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4CBE62A8-AAFF-44F6-BDC8-7C4C7976FEEF}\RP964\A0125472.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4CBE62A8-AAFF-44F6-BDC8-7C4C7976FEEF}\RP964\A0125635.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4CBE62A8-AAFF-44F6-BDC8-7C4C7976FEEF}\RP964\A0125636.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Arnaud\Menu Démarrer\Pages Annuaire.lnk (Adware.GibMedia) -> Quarantined and deleted successfully.

lauriexy1 · Answer

Bon eh bien si rien de plus ce soir, je vais au dodo...

A demain

moment de grace · Answer

- Insère un CD vierge dans ton graveur, si une fenêtre s'ouvre te demandant ce que tu veux faire, ferme cette fenêtre. 
- Fais un double-clic sur l'icône d'OTLPE.iso et si tu as un logiciel de gravure ISO sur ton pc, celui ci s'ouvrira automatiquement, il ne te reste qu'a suivre les instructions indiquées par celui ci. 


Par contre si aucun logiciel de gravure ne se lance, fais cela... 

Télécharge BurnAtOnce (bao0995.exe) sur ton bureau. 
http://dl.commentcamarche.net/www.commentcamarche.net/download/files/bao0995.exe 

- Installe le sans modifier les paramètres proposés lors du processus d'installation. 
- A la fin de l'installation, clique sue "Finish" pour lancer BurnAtOnce, une fenêtre de "License agreement" s'ouvre, coche la case "I am a non commercial user and accept the license agreement" et clique sur "Next". 
- BurnAtOnce est maintenant en fonctionnement. 

Fais un "glisser/déposer"du fichier "OTLPE.iso" sur le raccourci de "BurnAtOnce" comme sur cette capture : 
https://www.sfr.fr/fermeture-des-pages-perso.html 

- Clique sur Simulation 
- La gravure du CD va alors démarrer 
- Tu peux regarder cette vidéo (merci à jeanmimigab) en cas de problème : 
https://www.youtube.com/watch?v=EG3lOgt3ugE 


Faut maintenant insérer le CD créer dans le lecteur du PC malade et redémarrer l'ordinateur sur le CD : 
https://forum.malekal.com/viewtopic.php?t=9447&start= 

* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune 

* Double-click sur l'icone OTLPE 
* Quand demandé "Do you wish to load the remote registry", select Yes 
* Quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes 
* Vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK 

* Sous Custom Scan box copie_colle le contenu en gras ci dessous: 

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
wininit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
ipsec.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT


* clic Run Scan pour démarrer le scan. 
* une fois terminé , le fichier se trouve là C:\OTL.txt 
* copie_colle le contenu dans ta prochaine réponse

lauriexy1 · Answer

Bonjour

OTLPE.iso??

Je n'ai pas ça sur mon pc.

Je peux le télécharger ou?

moment de grace · Answer

pardon

http://sd-2.archive-host.com/membres/up/12765908573187185/SETUP_MyISO.exe

lauriexy1 · Answer

C'est ce que je suis entrain de faire ;o)

lauriexy1 · Answer

Par contre j'ai une console My iso qui s'ouvre me proposant plusieurs choix :

1-telecharger OTLPE
2-installer burnatonce
3-graver OTLPE avec burnatonce
4-desinstaller burnatonce
5-desinstaller My iso

J'ai fait 1 mais ça ne marche pas, il me mets une erreur 404

lauriexy1 · Answer

Je ne sais pas si ça a un lien mais ce matin, au bout d'1h de chargement au démarrage....Grrr... J'ai arrete un processus svchost qui me pourrissait la vie. Dois-je rédémarré le pc?

moment de grace · Answer

il faut graver cet iso sur cd et redemarrer le pc à partir de ce cd

donc si tu peux le graver avec un logiciel à toi (gravure image) ou avec burnatonce 

une fois fait redemarrer comme indiqué

lauriexy1 · Answer

Bon je redémarre le pc, on verra bien...

moment de grace · Answer

J'ai arrete un processus svchost qui me pourrissait la vie. Dois-je rédémarré le pc?

lequel

as tu gravé l'iso

lauriexy1 · Answer

Bon j'ai redémarré mais rien n'a changé. Je n'ai arreté aucun processus et là on dirait qu'il s'est arreté de mouliner.
Le processus que j'ai arreté tout à l'heure était un svchost mais je ne sais pas lequel exactement. Il y en a pas mal qui se charge au démarrage.

Bref, le probleme est que je n'arrive pas à telecharger OTLP.iso sur mon pc en passant par cette console My iso. La console échoue dans la tentative de téléchargement avec une erreur 404. 
Donc je ne peux pas poursuivre...

moment de grace · Answer

Télécharge OTLPENet.exe  sur ton Bureau

http://oldtimer.geekstogo.com/OTLPENet.exe

    *  Insère un CD vierge dans ton graveur.
    * Double-clique sur le fichier OTLPENet.exe (Une fenêtre va s'ouvrir pour te demander si tu souhaites graver le CD, clique sur le bouton Oui.)
    * Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge. Il s'agit d'un ReatoGo bootable, nommé OTLPE, qui te permettra d'avoir accès à tes fichiers sur la machine qui ne démarre plus.
    * Démarre la machine infectée et insère rapidement le disque gravé, afin que le démarrage se fasse via ce disque. Si ça ne fonctionne pas du premier coup, redémarre la machine avec le disque dans le lecteur à nouveau. Si ça ne fonctionne toujours pas, il faudra vérifier l'ordre du boot dans le BIOS et mettre le lecteur optique en premier.
    * Si tout va bien, tu démarreras sur l'environnement OTLPE

lauriexy1 · Answer

J'ai téléchargé le fichier OTLPENet.exe sur le bureau. J'ai mis le cd. J'ai ouvert le fichier et accepté la gravure. Une fenetre s'ouvre d"extraction" mais rien ne se passe. La gravure ne démarre pas.

Grrr...

moment de grace · Answer

Télécharge BurnAtOnce (bao0995.exe) sur ton bureau.
http://dl.commentcamarche.net/www.commentcamarche.net/download/files/bao0995.exe

- Installe le sans modifier les paramètres proposés lors du processus d'installation.
- A la fin de l'installation, clique sue "Finish" pour lancer BurnAtOnce, une fenêtre de "License agreement" s'ouvre, coche la case "I am a non commercial user and accept the license agreement" et clique sur "Next".
- BurnAtOnce est maintenant en fonctionnement.

Fais un "glisser/déposer"du fichier "OTLPE.iso" sur le raccourci de "BurnAtOnce" comme sur cette capture :
https://www.sfr.fr/fermeture-des-pages-perso.html

- Clique sur Simulation
- La gravure du CD va alors démarrer
- Tu peux regarder cette vidéo (merci à jeanmimigab) en cas de problème :
https://www.youtube.com/watch?v=EG3lOgt3ugE

lauriexy1 · Answer

Je n'ai pas ce fichier iso. Je n'arrive pas à le récupérer. OTLPNet.exe ne grave pas. Il bloque à l'extraction.

moment de grace · Answer

tu m'as dit que tu l'avais sur ton bureau
https://forums.commentcamarche.net/forum/affich-18921551-ralentissement-pc-et-virus?page=3#74

grave le avec BurnAtOnce

https://forums.commentcamarche.net/forum/affich-18921551-ralentissement-pc-et-virus?page=3#75

lauriexy1 · Answer

Je suis peut etre pas douée mais sur mon bureau je n'ai qu'un fichier OTLPENet.exe qui à priori ne veut pas s'exécuter et me sortir un iso.

lauriexy1 · Answer

Bon, ça ne fonctionne pas.

Je suis passé par Nero en faisant graver un fichier image, il ne veut pas me le graver vu que ce n'est pas un fichier iso mais exe.
J'ai essayé de faire de OTLPENet.exe un fichier image pour pouvoir le graver en tant que tel mais ça ne marche pas non plus.
J'ai essayé de graver le OTLPNet tel quel sur un cd, ça ne marche pas non plus.

Donc là je ne sais plus quoi faire

lauriexy1 · Answer

Et voilà, j'ai re télécharger le fichier sur le site officiel et cette fois ci ça fonctionne...
Gravure faite, je poursuis la procédure. J'espère qu'il n'y aura pas de problème sinon je vais devenir chèvre!

lauriexy1 · Answer

voilà le rapport :

https://www.cjoint.com/?iypPOpWuHq

lauriexy1 · Answer

T'es plus là?
quel dommage je me suis arrachée les cheveux pour en arriver là!

lauriexy1 · Answer

Quelqu'un peut-il me dire quelque chose sur ce rapport d'analyse??

moment de grace · Answer

rappel

nous sommes bénévoles...et pas toujours devant le pc !

.....................

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

C:\Documents and Settings\Arnaud\bao.exe



Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

lauriexy1 · Answer

https://www.cjoint.com/?iys3EWDAKy

moment de grace · Answer

vu

celui ci aussi à vérifier

C:\httpdwl.dat

lauriexy1 · Answer

https://www.cjoint.com/?izh7u4wksa

lauriexy1 · Answer

Bonjour, 

Merci beaucoup pour l'aide apportée mais je vais tenter de solutionner mon problème sans votre aide car celui ci ne cesse d'empirer (1h30 de chargement ce matin).
Votre indisponibilité, que je peux comprendre, me fait défaut et j'ai besoin d'avancer dans ce dépannage.

Merci encore
Bonne continuation

NB : je ne marque pas le probleme comme résolu car il ne l'ai pas.

moment de grace · Answer

bonjour, de retour..

supprimes manuellement C:\httpdwl.dat 

puis refais combofix pour voir si c'est lui qui mets le bazar

ps: je reconnais que ton cas est difficile à régler car nouveau semble t il

Ralentissement pc et virus?

72 réponses

Votre réponse

Newsletters