PC qui rame encore et encore, virus ou pas? Résolu/Fermé

Question

Bonjour à tous!




Configuration: Windows Vista / Firefox 3.6.8



J'ai le PC qui rame vraiment bcp depuis qql jours.  J'ai fait tous les scans malware (malwarebytes, spybot, avast sur mon ordi), puis on ligne: ESET et Bitdefender. Rien n'a été trouvé. 


J'ai commencé un panda qui a buggé, et qui affichait 4 virus déjà.  (est-il fiable?) (Croyez vous que je dois essayer d'installer Kapersky?)


Clairement, il fonctionne très bien, puis d'un coup, il met 10 mn pour afficher une page, puis parfois, ça repart comme si de rien n'était etc. Il me fait aussi des trucs bizarres genre je valide un formulaire, et il me met des messages d'erreurs, comme quoi, j'ai mal rempli tel truc, alors que tout est rempli. Puis le message d'erreur change. Et dernièrement, lorsque je veux l'éteindre (parce qu'il bugg), il m'indique que trop de programmes 16 bits seraient en cours (alors qu'il n'y a que mozilla pas ex), et que je devrais en supprimer pour régler le pb ou ajouter au fichier "Files" je ne sais quoi exactement. (mais si vs avez besoin de cette info, je la retrouverais!) >>>> C'est un virus n'est ce pas?


Mon pc a été restauré (partiellement, j'ai gardé mes docs perso.) il y a juste un mois car cela faisait des mois qu'internet ne fonctionnais plus... et impossible à soigner, il avait aussi des ralentissements à cette époque.


Si qql peut m'aider... je suis légèrement désespérée... PC assez neuf (2 ans), je ne vais jms sur les sites bizarres, je fais toutes les mises à jour très régulièrement, et je suis presque toujours en rade!




Si vous avez une piste, merci d'avance!

Nuranne · Answer

J'ai oublié de préciser que j'ai fait une petite restauration (d'1 semaine) avant- hier qui m'a permis d'être tranquille pendant presque 2 jours! (pourquoi? je ne sais pas! A vous de me le dire, si vous êtes charitables!;))

hubertaaz · Answer

Bonjour,

Je te propose de procéder à un diagnostic de ton pc :

*	Télécharge ZHPDiag (de Nicolas Coolman) 
* Laisse toi guider lors de l'installation 
* Il se lancera automatiquement à la fin de l'installation 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse.

Nuranne · Answer

Merci HuberTazz pour ta précieuse aide!! 

Voici: http://www.cijoint.fr/cjlink.php?file=cj201008/cijSn7Jv5n.txt

hubertaaz · Answer

* Je ne vois pas ce que l'installation de Kaspersky changerait car Avast 5 n'est pas mal.

* Par ailleurs concernant Spybot, je le trouve dépassé et ralentissant les pc. 

* Concernant ton rapport, à priori, je ne vois rien d'infectieux. 

J'ai juste un doute sur un fichier modifié ou créé le 10.08 à 8H20' : 
 (.Marco Bellinaso - MB ActiveLink Control.) -- C:\Windows\System32\MBLink.ocx    

Est-ce que tu vois ce que c'est? 

Si tu ne connais pas, je te suggérerais de procéder à une restauration système sur un point de restauration juste avant le 10.08. 

* Il serait bon aussi d'envisager d'installer le SP2 qui pourrait éventuellement corriger certaines anomalies. 

* Pour mieux cerner le problème, lorsque ton pc ralenti, tu devrais ouvrir le "Gestionnaire des tâches" onglet "Processus" et relever les processus qui te prennent beaucoup de mémoire. 
Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.  
(Proverbe chinois)

Nuranne · Answer

Merci Hubertazz!



* Pour Kapersky, c'est juste parce que j'ai cru que mon pb était dû à une défaillance de mon anti-virus.

* Pour spybot... vous me conseillez quoi à la place?

* Pour le fichier active x, je ne vois pas du tout... Est ce que je dois le supprimer?

* Pour la restauration, mon souci depuis lgtp d'ailleurs, est que je n'ai que qql points qui remontent à 3 jours (parfois 1 semaine au max)... et impossible de trouver le reste. Je ne trouve pas non plus comment faire sur les forums... si vous avez une idée, vraiment, depuis le tps que je le cherche, je vous en serai gré... 

* Ok, je vais installer SP2 ... 

* Concernant le processus, je l'ai ouvert et la petite icône qui est apparue indique UC utilisée qui ne dépasse jamais 10%, mémoire physique 72%... j'imagine que ça signifie qu'il n'y a pas trop de processus..? (puis, j'ai rien trouvé, celui qui me bouffe le plus, c'est résident spybot en effet...)


Et concernant les virus trouvés par Pandasecurity, Hubertazz, dites moi vous qui vous y connaissez... c'est quand même pas du bluff n'est ce pas?





https://forums.commentcamarche.net/forum/affich-18929697-pc-qui-rame-encore-et-encore-virus-ou-pas

hubertaaz · Answer

* Pour remplacer Spybot je suggère SpywareBlaster en anglais mais très facile d'utilisation.
Tutoriel


* Pour le fichier suivant : C:\Windows\System32\MBLink.ocx 

Rends-toi sur ce site : https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : C:\Windows\System32\MBLink.ocx 

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-notes. 

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.

Si tu ne trouves pas le fichier, fais ceci :
* Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
* Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
* Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée.


* Concernant ce qui est détecté par PandaSecurity, je pense plutôt à des Cookies ou alors j'aurai besoin de la liste pour en savoir plus.

* Avant toute analyse antivirus, antispyware ou autre, je recommande de faire le ménage avec CCleaner, que j'utilise journellement pour la fonction "Nettoyeur" et hebdomadairement pour la fonction registre (toujours sauvegarder les modifications du registre)

Télécharger CCleaner : 

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" comme langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


* Pour la restauration système, je pense qu'il s'agit d'un problème de paramètres de la capacité de mémorisation, je te communiquerais plus tard la façon de l'augmenter ( ça diminue les capacités du pc mais je pense que ça ne devrait te poser aucun problème).

Nuranne · Answer

Ok! 



* SP2 c'est fait, même si ça a buggé plr fois, ça a fini par prendre...

* Spywareblaste, c'est fait! J'ai virer Spybot dont le résident c'est vrai, bouffe bcp de processus... 



* Quant à VirusTotal, voici lson rapport: 


Virus Total 	
Virustotal is a service that analyzes suspicious files and URLs and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information...
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
MBLink.ocx
Submission date:
2010-08-23 10:33:18 (UTC)
Current status:
queued queued analysing finished
Result:
0/ 42 (0.0%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.08.23.06	2010.08.23	-
AntiVir	8.2.4.38	2010.08.23	-
Antiy-AVL	2.0.3.7	2010.08.23	-
Authentium	5.2.0.5	2010.08.23	-
Avast	4.8.1351.0	2010.08.22	-
Avast5	5.0.332.0	2010.08.22	-
AVG	9.0.0.851	2010.08.23	-
BitDefender	7.2	2010.08.23	-
CAT-QuickHeal	11.00	2010.08.23	-
ClamAV	0.96.2.0-git	2010.08.23	-
Comodo	5829	2010.08.23	-
DrWeb	5.0.2.03300	2010.08.23	-
Emsisoft	5.0.0.37	2010.08.23	-
eSafe	7.0.17.0	2010.08.22	-
eTrust-Vet	36.1.7804	2010.08.21	-
F-Prot	4.6.1.107	2010.08.22	-
F-Secure	9.0.15370.0	2010.08.23	-
Fortinet	4.1.143.0	2010.08.23	-
GData	21	2010.08.23	-
Ikarus	T3.1.1.88.0	2010.08.23	-
Jiangmin	13.0.900	2010.08.23	-
Kaspersky	7.0.0.125	2010.08.23	-
McAfee	5.400.0.1158	2010.08.23	-
McAfee-GW-Edition	2010.1B	2010.08.23	-
Microsoft	1.6103	2010.08.23	-
NOD32	5388	2010.08.23	-
Norman	6.05.11	2010.08.23	-
nProtect	2010-08-23.01	2010.08.23	-
Panda	10.0.2.7	2010.08.22	-
PCTools	7.0.3.5	2010.08.23	-
Prevx	3.0	2010.08.23	-
Rising	22.62.00.04	2010.08.23	-
Sophos	4.56.0	2010.08.23	-
Sunbelt	6778	2010.08.23	-
SUPERAntiSpyware	4.40.0.1006	2010.08.23	-
Symantec	20101.1.1.7	2010.08.23	-
TheHacker	6.5.2.1.355	2010.08.23	-
TrendMicro	9.120.0.1004	2010.08.23	-
TrendMicro-HouseCall	9.120.0.1004	2010.08.23	-
VBA32	3.12.14.0	2010.08.23	-
ViRobot	2010.8.23.4003	2010.08.23	-
VirusBuster	5.0.27.0	2010.08.22	-
Additional information
Show all
MD5   : 608db3215536f18540d8055c5684497d
SHA1  : 5e94d6ec0c4d8e145a1f0cbff8402e7c59633a82
SHA256: cc269e15c8f01ffad5d6b58a8b35acbc4c58e56cc2839584fde83d1454625482
ssdeep: 1536:pwRvGtxlX2sAnjzGMgqCagTuWwAW+QhJudwt+V7fQd:pwRvGtxlmsKPGMgigTuWwAW+QhJ
q84
File size : 90112 bytes
First seen: 2010-08-23 10:33:18
Last seen : 2010-08-23 10:33:18
TrID:
Windows OCX File (91.4%)
Win32 Dynamic Link Library (generic) (5.6%)
Generic Win/DOS Executable (1.4%)
DOS Executable Generic (1.4%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Marco Bellinaso
copyright....: Copyright 2000 by Marco Bellinaso
product......: MB ActiveLink Control
description..: MB ActiveLink Control
original name: MBLink.ocx
internal name: MBLink
file version.: 1.00
comments.....: Freeware ActiveX
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x16DC
timedatestamp....: 0x390B113E (Sat Apr 29 16:43:42 2000)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0xD433, 0xE000, 5.77, dbfc8b949e32c9625f02c7528163ee18
.data, 0xF000, 0x138C, 0x1000, 0.00, 620f0b67a91f7f74151bc5be745b7110
.rsrc, 0x11000, 0x3168, 0x4000, 3.81, 3b56c4d7b9e998ee986234b127d84345
.reloc, 0x15000, 0x11E0, 0x2000, 4.21, 53120144466346788ce40fc4ffab3151

[[ 1 import(s) ]]
MSVBVM60.DLL: __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaFreeVar, __vbaAptOffset, __vbaStrVarMove, __vbaFreeVarList, _adj_fdiv_m64, __vbaRaiseEvent, __vbaFreeObjList, _adj_fprem1, __vbaRecAnsiToUni, -, __vbaStrCat, __vbaRecDestruct, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, __vbaBoolVar, __vbaFpR8, _CIsin, __vbaChkstk, __vbaCyVar, EVENT_SINK_AddRef, __vbaStrCmp, __vbaI2I4, DllFunctionCall, __vbaCastObjVar, _adj_fpatan, __vbaR4Var, __vbaLateIdCallLd, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaNew, _CIsqrt, __vbaObjIs, EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, __vbaFPException, __vbaStrVarVal, __vbaI2Var, _CIlog, __vbaErrorOverflow, __vbaNew2, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaI4Var, -, -, -, __vbaVarAdd, __vbaStrToAnsi, -, __vbaRecDestructAnsi, _CIatan, __vbaStrMove, __vbaCastObj, _allmul, __vbaLateIdSt, _CItan, _CIexp, __vbaFreeObj, __vbaFreeStr

[[ 4 export(s) ]]
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

VT Community

0

    This file has never been reviewed by any VT Community member. Be the first one to comment on it! 

VirusTotal Team


>>>>> Je crois qu'il n'a rien trouvé, c'est bien ça?





* CCleaner, je l'avais déjà, mais je l'ai qd même refait juste avant le scan, merci du conseil. 


* Le scan à fonctionné cette fois (même s'il a mis plus de 4 heures), et voici le compte rendu: 

Exporter vers :
Menaces avec désinfection gratuite (0)
Menaces (2)
Niveau de risque faible (2)
	Exploit/URLSpo...	Outil de piratage	
Latent(e)
	Masquer	+Infos	 
	1. c:\program files\office one 7.0\share	emplat...s arrière-plan\marbre.otp[meta.xml]
	Trj/CI.A	Virus	
Latent(e)
	Masquer	+Infos	 
	1. c:\program files\common files\aol\acs\uninst.exe


>>> Je crois avoir compris que j'étais infecté par un troyan en autre non? Et un outil de piratage? Mais comment fait on  pour soigner ça? (en attendant votre réponse, je vais relancer un scan avast, mais sans grand espoir) Sinon, ça sert à qqlchose si j'efface les fichiers infectés?




* Et enfin, pour la restauration, ok, j'attend votre coup de main! 




Merci, et bonne soirée!

hubertaaz · Answer

Bonsoir, 

* Le rapport VirusTotal montre que le fichier est sain. 

* Concernant le rapport Pandasecurity :  
Exporter vers : 
Menaces avec désinfection gratuite (0) 
Menaces (2) 
Niveau de risque faible (2) 
Exploit/URLSpo... Outil de piratage 
Latent(e) 
Masquer +Infos 
1. c:\program files\office one 7.0\share	emplat...s arrière-plan\marbre.otp[meta.xml] 
Trj/CI.A Virus 
Latent(e) 
Masquer +Infos 
1. c:\program files\common files\aol\acs\uninst.exe  
 
J'ai de gros doutes et je vais solliciter l'avis d'un expert en désinfection plus qualifié que moi. 

* Comment se comporte le pc depuis l'installation du SP2? 

* Pour la restauration système :  

Fais un clic droit sur "Ordinateur" => Propriétés Système => Tu dois ensuite pouvoir modifier les paramètres de "l'utilisation de l'espace disque" (si tu ne trouves pas, je ferais des recherches car je suis sous XP est c'est différent) 

Bonne soirée à toi aussi. 

@+ 

Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.  
(Proverbe chinois)

Nuranne · Answer

Bonjour Hubertazz! J'espère que vous allez bien!


Moi, ça va, sauf que ce matin, j'ai l'impression de patauger un peu... 


Car:

*  Doc Web n'a détecté aucun virus!! (je l'ai refait 3 fois... sous toutes ses coutures) (Merci à Gen-Hackman quand même!)

* Avast non plus (comme toujours)


Mais:

* Malwaresbytes lui, à trouvé un truc (qu'hier encore, il ne trouvait pas!), je vous poste le rapport, bizarre, il n'y avait aucune action possible:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4467

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

23/08/2010 23:35:45
Malware bytes Rapport - mbam-log-2010-08-23 (23-35-45)

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 232150
Temps écoulé: 1 heure(s), 8 minute(s), 10 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



Voilà, concernant le SP2, la machine bloque moins mais reste assez ralentit et me fait encore des siennes (sur les formulaires, me disant que les champs sont invalides etc, alors que tout est rempli correctement etc)



Je vous remercie!

hubertaaz · Answer

Bonjour,

Je suis surpris que tu n'aies pas eu l'option "suppression" dans MBAM.

Relance MBAM pour un examen rapide et vois si cette fois tu pourras supprimer la valeur du registre infectée.

Si ce n'est pas possible, je pense que nous pourrons modifier la valeur dans le registre.

Je vais demander à gen-hackman ce qu'il pense de l'analyse Dr. Web.

@+

Nuranne · Answer

Oui, je viens de la refaire, si! il y a bien l'option supprimer mais étant donné que rien n'était recommandé... je supprime donc!

Nuranne · Answer

Pour l'ajout de mémoire, hier, je n'y parvenais pas... mais je viens de trouver un tuto formidable (ça fait lgtps que je le cherchais, mais je ne connaissais pas les bons termes, très importants dans ce domaine!! )): 
https://www.commentcamarche.net/faq/12672-vista-modifier-l-espace-disque-requis-pour-la-restauration-du-systeme


Ca fonctionne, ceci dit, je ne sais pas quel espace dois je indiqué... 


Merci!  @ +

gen-hackman · Answer

salut tu as toujours la demande de restauration au demarrage ?

Nuranne · Answer

Salut!

Vous parlez de demande de restauration lorsque j'allume l'ordi, qui viendrait de la part de windows Restauration système, c'est ça? Si j'ai bien compris, non, je pense ne jamais avoir eu ce genre de demande automatique. 
Merci...

gen-hackman · Answer

desolé j ai confondu avec un autre topic ou ce probleme etait présent ^^

Nuranne · Answer

Bonjour Hubertazz!  

J'espère que vous allez bien!... 





Bon, pour la mémoire de restauration, j'ai rentré la donné de 2000 (base hexadécimal)... un peu au pif, car j'imagine que 2 GO c'est 2000 (non?) 


Oui, le message d'erreur apparaît toujours pdt que j'éteins l'ordi, suite à un bug,  et il est écrit : "trop de fichiers sont en cours d'utilisation par des prg 16 bits. Quittez 1 ou plusieurs pgr ou augmentez la valeur de la commande FILES dans votre fichier config.sys." 


Le bug au niveau des formulaires persistent aussi, mais que sur certains sites semble il... 


Sinon, le pc tourne bien, plus de variation de vitesse incessantes...

hubertaaz · Answer

Bonjour Nuranne, 

Je vais bien merci. J'espère que tu es aussi en pleine forme. 

* Pour la restauration système, 2 Go est bien égal à 2000 (Mo) 


* Concernant le message "augmentez la valeur de la commande FILES dans votre fichier config.sys", j'ai peut-être la solution. 

Il faut éditer le fichier  c:\config.sys et augmenter la valeur de files qui est en principe de 40 et la porter à 80 ou 100. 

C'est un fichier caché, pour le faire apparaître : 

Panneau de configuration/Option des dossiers/affichage et là : 

Tu coches : afficher les fichiers et dossiers cachés. 

Tu décoches : masquer les extensions des fichiers etc . . . . 

Tu décoches : masquer les fichiers et dossiers système et tu confirmes. 

Maintenant tu devrais voir le fichier dans c:\config.sys : http://img1.uplood.fr/free/0uyl_vista32.jpg 

Tu peut l'éditer avec le bloc note .


Quand la modification sera faite retourne dans le Panneau de configuration/Option des dossiers/affichage et remet tel qu'avant.

Tiens-nous au courant, si ça marche, je pense que tes soucis seront résolus. 

@+ 

Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.  
(Proverbe chinois)

Nuranne · Answer

Oui! Je vais très bien, merci... !!!


J'ai suivi vos consignes, très claires, à la lettre! (précisons qd même à l'égard d'un éventuel lecteur que, pour que la modification de valeur soit acceptée, il faut suspendre le contrôle de compte d'utilisateur).


Voilà qui est fait donc...  ne me reste qu'à attendre qql jours, en espérant ne revenir vers vous qu'une dernière fois, pour vous féliciter!


A bientôt cher Hubertazz!

hubertaaz · Answer

Bonsoir Nuranne,

Merci pour la précision quant à la désactivation de l' UAC (désolé suis sous XP).

Je compte sur toi pour nous tenir au courant de l'évolution qui j'en suis certain sera Ok.

C'est toujours un plaisir d'assister des gens sympa et appliqués tel que toi :-)

A très bientôt

Nuranne · Answer

Cher Hubertazz!



Merci pour votre gentil message... 


Bon, fi du dernier souci, chose promise chose due, c'est avec plaisir que je félicite! ;-)


D'abord pour votre patience!!! Ensuite pour votre amabilité!!! Et aussi, parce que y' a du mieux! En effet, plus aucun ralentissements! ... 


(Sinon, toujours le même message d'erreur, à propos des bits... mais je crois avoir remarqué que c'est malwarebytes qui est en cause! Je vais dons essayer de le désinstaller réinstaller...)



Et j'vous tiens au courant!  (enfin, si vous n'êtes pas fatigué... ;)


A bientôt!

hubertaaz · Answer

Bonjour Nuranne,

C'est sympa de me tenir au courant.

Je suis ravi que les ralentissements ne sont plus qu'un mauvais souvenir.

Concernant le message : "trop de fichiers sont en cours d'utilisation par des prg 16 bits. Quittez 1 ou plusieurs pgr ou augmentez la valeur de la commande FILES dans votre fichier config.sys." 

je n'ai rien trouvé qui permettrait de penser que Malwarebytes serait en cause.

Si tu le désinstalles, je te conseille après sa désinstallation un nettoyage avec Ccleaner surtout le registre et de tester ton pc (concernant le message) avant de réinstaller Malwarebytes.

Si la désinstallation de Malwarebytes ne porte pas ses fruits, je souhaiterais que tu vérifies si dans le fichier c:\config.sys  la valeur de files est toujours au niveau auquel tu l'as augmentée. Ce niveau n'hésite pas à le porter à 100 voire un peu plus. Cette manoeuvre a dans de nombreux cas suffit à supprimer le fameux message.

Je compte sur toi pour me tenir au courant de l'évolution.

A bientôt

gen-hackman · Answer

salut j'ai une idée

fais un clic droit droit sur config.sys , ouvrir avec "notepad" puis colle ici ce qu'il contient

Nuranne · Answer

Ok! La valeur n'a pas changé... Voilà le copié collé :


 FILES=100


.. ?

gen-hackman · Answer

mets-là à 160

Nuranne · Answer

Ok merci! (J'vous tiens au courant... )

Nuranne · Answer

Bonjour! J'espère que vous allez bien!

Pas de pb pour le moment coté message d'erreur... mais j'ai refais plusieurs scans complets (avast, malwarebytes, bitdefentder) à tout hasard, et encore une fois, seul Panda à trouvé qu'il "était" infecté:



*****************************************************************************************************************************************************
ANALYSIS: 2010-08-29 09:37:01
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
avast! Antivirus                                                           Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00039738  Exploit/URLSpoof                   HackTools           No        0         Yes            No           c:\program files\office one 7.0\share	emplate\fr\présentations arrière-plan\marbre.otp[meta.xml]
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           c:\users\huda\downloads
avilog1.exe
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           c:\program files\common files\aol\acs\uninst.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
No        c:
avilog1eg.exe
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================



Ensuite, j'ai passé les fichiers incriminés un par un chez kapersky, et il les a tous trouvé sains!... 


Comprends rien... 


J'vais lancer Eset...

hubertaaz · Answer

Bonjour Nuranne, 

Le message d'erreur ne revient plus, c'est une bonne nouvelle. 


Concernant le rapport Panda : 

* 00039738 Exploit/URLSpoof HackTools No 0 Yes No c:\program files\office one 7.0\share	emplate\fr\présentations arrière-plan\marbre.otp[meta.xml] 

C'est un exploit or Dr Web CureIt que tu as passé l'aurait supprimé si infectieux. 

Comme nous l'avons mentionné précédemment Gen et moi nous pensons à un Faux Positif de Panda. 


* 03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\users\huda\downloads
avilog1.exe 

C'est un outil de désinfection qui peut être considéré à tort par certains antivirus comme néfaste (tu peux d'ailleurs le supprimer)


* 03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\program files\common files\aol\acs\uninst.exe   

Je pense aussi à un faux positif.  


Rends-toi sur ce site : https://www.virustotal.com/gui/  

Clique sur parcourir et cherche ce fichier : c:\program files\common files\<gras>aol\acs\uninst.exe  

Clique sur Send File.  

Un rapport va s'élaborer ligne à ligne.  

Attends la fin. Il doit comprendre la taille du fichier envoyé.  

Sauvegarde le rapport avec le bloc-notes.  

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant. 

Si tu ne trouves pas le fichier, fais ceci : 
* Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage 
* Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide. 
* Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée. 

Si gen-hackman a un autre avis, il ne manquera pas de se manifester ;) 

@+ 
Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.  
(Proverbe chinois)

Nuranne · Answer

Génial ce logiciel, je viens jute de comprendre comment ça marche, très utile! Mais... voilà le résultat et aïe! Je crois que ce n'était pas une f.p! Regardez le rapport:

 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
uninst.exe
Submission date:
2010-08-30 07:52:58 (UTC)
Current status:
queued (#7) queued (#7) analysing finished
Result:
10/ 43 (23.3%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.08.29.00	2010.08.28	Malware/Win32.Trojan Horse
AntiVir	8.2.4.46	2010.08.29	-
Antiy-AVL	2.0.3.7	2010.08.30	-
Authentium	5.2.0.5	2010.08.29	-
Avast	4.8.1351.0	2010.08.29	-
Avast5	5.0.594.0	2010.08.29	-
AVG	9.0.0.851	2010.08.29	-
BitDefender	7.2	2010.08.30	-
CAT-QuickHeal	11.00	2010.08.30	-
ClamAV	0.96.2.0-git	2010.08.30	-
Comodo	5907	2010.08.30	-
DrWeb	5.0.2.03300	2010.08.30	-
Emsisoft	5.0.0.37	2010.08.30	-
eSafe	7.0.17.0	2010.08.29	-
eTrust-Vet	36.1.7823	2010.08.27	-
F-Prot	4.6.1.107	2010.08.29	-
F-Secure	9.0.15370.0	2010.08.30	-
Fortinet	4.1.143.0	2010.08.29	-
GData	21	2010.08.30	-
Ikarus	T3.1.1.88.0	2010.08.30	-
Jiangmin	13.0.900	2010.08.30	-
K7AntiVirus	9.63.2386	2010.08.28	Trojan
Kaspersky	7.0.0.125	2010.08.30	-
McAfee	5.400.0.1158	2010.08.30	Generic Dropper!bdr
McAfee-GW-Edition	2010.1B	2010.08.29	Generic Dropper!bdr
Microsoft	1.6103	2010.08.30	-
NOD32	5407	2010.08.29	-
Norman	6.05.11	2010.08.30	-
nProtect	2010-08-29.01	2010.08.30	Trojan/W32.Agent.79814
Panda	10.0.2.7	2010.08.30	Trj/CI.A
PCTools	7.0.3.5	2010.08.30	Trojan.Generic
Prevx	3.0	2010.08.30	-
Rising	22.63.00.02	2010.08.30	-
Sophos	4.56.0	2010.08.30	Mal/Generic-A
Sunbelt	6811	2010.08.30	Trojan.Win32.Meredrop
SUPERAntiSpyware	4.40.0.1006	2010.08.30	-
Symantec	20101.1.1.7	2010.08.30	Trojan Horse
TheHacker	6.5.2.1.359	2010.08.30	-
TrendMicro	9.120.0.1004	2010.08.30	-
TrendMicro-HouseCall	9.120.0.1004	2010.08.30	-
VBA32	3.12.14.0	2010.08.27	-
ViRobot	2010.8.9.3978	2010.08.30	-
VirusBuster	5.0.27.0	2010.08.29	-
Additional information
Show all
MD5   : c483a0007c21ddc6f0e9d95a613cdda7
SHA1  : 6467f8d4afaeab7c687633f28f8a6f93e3700994
SHA256: c356765d696f69152a14e0f5623affc6abdccafa990d0ccab91c5a5f5032c4d0
ssdeep: 1536:yvdZUQghlqMexWUcJbXSGpohuKRAk4gi98tmfbu2DE6apaXB0:sU5clkDJbX7poJSk4j8t
p2DwpQB0
File size : 79814 bytes
First seen: 2009-01-11 17:58:57
Last seen : 2010-08-30 07:52:58
TrID:
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: AOL LLC
copyright....: Copyright (c) 2005-2006 - AOL LLC. All Rights Reserved.
product......: AOL Connectivity Service 1.0
description..: AOL Connectivity Service Build 4.6.61.2
original name: acscore.exe
internal name: n/a
file version.: 4.6.61.2
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (F-Prot): NSIS
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x3AEA
timedatestamp....: 0x42836681 (Thu May 12 14:21:53 2005)
machinetype......: 0x14c (I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x648A, 0x6600, 6.40, 95a08a351a308601606d05c5e0caf3be
.rdata, 0x8000, 0x1C72, 0x1E00, 5.27, ad3480bbd2b89b35a1007f68da4f66ed
.data, 0xA000, 0x1C494, 0x200, 1.29, ac97ebca38d2d8318dca1994bee4b5de
.ndata, 0x27000, 0xD000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
.rsrc, 0x34000, 0x1000, 0xA00, 3.00, 5038ae5e62da35cc0832b85ebc6aa77d

[[ 8 import(s) ]]
COMCTL32.dll: -, ImageList_AddMasked, ImageList_Destroy, ImageList_Create
VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
KERNEL32.dll: FormatMessageA, GetLastError, GetModuleHandleA, SetErrorMode, GetExitCodeProcess, WaitForSingleObject, ExpandEnvironmentStringsA, GetEnvironmentVariableA, lstrcmpiA, CloseHandle, SetFileTime, GetFileAttributesA, CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, lstrcatA, SetCurrentDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, LoadLibraryA, CreateDirectoryA, ExitProcess, GetCurrentProcess, CopyFileA, lstrcpynA, GetCommandLineA, GetWindowsDirectoryA, GetTempPathA, GetUserDefaultLangID, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, GlobalAlloc, CreateThread, CreateProcessA, GetTempFileNameA, lstrcpyA, lstrlenA, SetEndOfFile, UnmapViewOfFile, MapViewOfFile, CreateFileMappingA, GetSystemDirectoryA, RemoveDirectoryA, MulDiv, DeleteFileA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GlobalFree, GetPrivateProfileStringA, WriteFile, ReadFile, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, GetModuleFileNameA
USER32.dll: PostQuitMessage, SetWindowTextA, SetTimer, DestroyWindow, CreateDialogParamA, ExitWindowsEx, CharNextA, GetSysColor, GetWindowLongA, LoadCursorA, SetCursor, CheckDlgButton, GetAsyncKeyState, IsDlgButtonChecked, ScreenToClient, GetMessagePos, CallWindowProcA, IsWindowVisible, LoadBitmapA, CloseClipboard, SetClipboardData, EmptyClipboard, OpenClipboard, TrackPopupMenu, GetWindowRect, AppendMenuA, CreatePopupMenu, GetSystemMetrics, EndDialog, SetClassLongA, IsWindowEnabled, SetWindowPos, DialogBoxParamA, GetClassInfoA, CreateWindowExA, SystemParametersInfoA, RegisterClassA, SetDlgItemTextA, GetDlgItemTextA, MessageBoxA, wvsprintfA, SetForegroundWindow, ShowWindow, CharPrevA, wsprintfA, SendMessageTimeoutA, FindWindowExA, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, PeekMessageA, DispatchMessageA, InvalidateRect, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, SendMessageA
GDI32.dll: GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SetBkColor, SelectObject
ADVAPI32.dll: RegDeleteKeyA, RegEnumKeyA, RegOpenKeyExA, RegEnumValueA, RegDeleteValueA, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, RegCloseKey
SHELL32.dll: ShellExecuteA, SHBrowseForFolderA, SHGetMalloc, SHGetSpecialFolderLocation, SHFileOperationA, SHGetPathFromIDListA
ole32.dll: OleUninitialize, OleInitialize, CoCreateInstance

VT Community

0

    This file has never been reviewed by any VT Community member. Be the first one to comment on it! 

VirusTotal Team

Nuranne · Answer

... A moins que tous ces outils n'aient pas une vue très claire comme Panda! 
(A vous de me le dire)

Sinon, moi, je supprimerais volontiers ce fichier et tout ce qui va avec, qui m'est totalement inutile (AOL). Mais question bizarre, le troyan ne va t il pas s'échapper, ou bien muter lors de la suppression non ?))) (oui, je me crois un peu dans les grimlins...)))

hubertaaz · Answer

Bonjour Nuranne,

Eh bien si pourtant, je pense toujours que c'est un faux positif.

Relis bien l'explication que gen-hackman a donnée plus haut.

10 antivirus sur 43 considèrent que c'est une infection mais les plus réputés tels que Avast, Antivir, BitDefender, DrWeb, Kaspersky, Microsoft, Nod 32 et Trend Micro le considèrent sain.

Il t'appartient de prendre la décision de le supprimer ou non mais personnellement je n'en ferais rien. C'est en utilisant cet exécutable de désinstallation que le cas échéant tu pourrais désinstaller proprement AOL.

Nous attendrons quand même l'avis de gen quand il sera parmi nous ;)

Bonne journée 

@+

Nuranne · Answer

Le fichier AOL.exe? Je ne sais pas je l'ai supprimé..

gen-hackman · Answer

il est plus dans ta corbeille des fois ?

Nuranne · Answer

Oh lala! J'ai rien compris, j'ai réinstallé uninstall.exe, je crois qu'il faisait 78ko. Pour vérifier, j'ai cliqué sur propriétés, puis j'ai vu un message (affiché par revo uninstaller présent à ce moment là) puis je ne trouve plus du tout le fichier en question, ni à sa place initiale, ni dans la corbeille! (je crois qu'il l'a supprimé!?)

... pas grave?

gen-hackman · Answer

non c'etait pour faire une analyse plus approfondie....

je pensais comparer le contenu du fichier sensément vérolé et l origiinal

Nuranne · Answer

désolée...

gen-hackman · Answer

toujours plus de messages d'erreur ?

Nuranne · Answer

Pas pour l'instant! (Ceci dit je suis peu sur l'ordi depuis 2 jours... )
J'vous tiens au courant (dans le meilleur comme dans le pire))

gen-hackman · Answer

ok reviedns surtout on a pas fini :)

Nuranne · Answer

Bonjour!  


De retour... en espérant vous trouver en forme!


Bon, ça allait bien mieux, puis, finalement, à lancer 3 programmes en même temps, le message d'erreur a finit par réapparaitre! (le même à propos des 16 bits)!

Mais bon, j'l'ai bien cherché quand même...


Voilà voilà... 


Sinon, un conseil pour la sécurité spyware (j'ai que spywareblaster, et malwarebytes, c'est suffisant?)


Merciii!


(si vous avez encore besoin de moi, j'suis là! ;D)

hubertaaz · Answer

Bonsoir Nuranne,

* Sécurité Spyware : Windows Defender + SpywareBlaster + Malwarebytes même en non résident c'est plus qu'il n'en faut.


* Concernant le fameux message, comme je l'ai mentionné plus haut, je n'ai jamais vu ce genre de problème avec MBAM. Cependant, il faut savoir qu'il est recommandé de fermer toutes ses applications lorsqu'on lance MBAM.

Je ne vois pas l'intérêt d'ouvrir MBAM en même temps que d'autres logiciels sinon pour un clic droit et analyse d'un fichier ou logiciel téléchargé.


* Je voulais aussi attirer ton attention sur ceci : C:\Program Files\Conduit et surtout sa toolbar qui est considérée comme "suspecte"

Si tu choisissais de la désinstaller ainsi que ce qui va avec, tu nous le dis et on te communiquera la façon de procéder pour que le travail soit bien fait.

Une documentation sur les toolars : https://forum.malekal.com/viewtopic.php?t=6173&start=


Si notre ami gen-hackman à quelque chose à ajouter ou à rectifier qu'il n'hésite pas, c'est lui l'expert ;)

@+

gen-hackman · Answer

il existe une commande pour signaler à MBAM les erreurs  

lire ce sujet : 

https://forums.malwarebytes.com/topic/50334-false-positive-from-list_killem/?tab=comments#comment-286382#entry286382 

pour traduire : 

https://translate.google.fr/#en|fr| 

faut inverser les langues
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤&#164

gen-hackman · Answer

2 fois que je poste et ca passe pas....:S

Nuranne · Answer

Ok! Oui, à en fait, à chaque fois que je souhaite ouvrir MBMA, et autre chose en même temps... ce que je fais très souvent... (je sais, l'impatience se paye!), et bien, ca fait ce beug... mais comme l'a précisé Hubertazz, s'il est recommandé de ne  rien faire tourner en même temps... ! (ce que j'ignorais...°)

hubertaaz · Answer

Bonjour Nuranne, salut Gen,

Nuranne, j'ai bien noté que tu as augmenté la valeur de 40 à 100 pour le fichier config.nt

J'espère que cette fois sera la bonne et que tu seras débarrassée définitivement de ce fichu message. Nous attendrons la confirmation.


Concernant le fichier C:\Program Files\Conduit et la toolbar : 

* Télécharge AD-Remover sur ton Bureau. (Merci à C_XX)  

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe  

Miroir:  

https://www.androidworld.fr/  

/!\ Ferme toutes applications en cours /!\  

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.  

- Double-clique sur l'icône Ad-Remover située sur ton Bureau.  
- Sur la page, clique sur le bouton « Nettoyer »  
- Confirme lancement du scan  
- Laisse travailler l'outil.  
- Poste le rapport qui apparaît à la fin.  

(Le rapport est sauvegardé aussi sous C:\Ad-report-Clean.log )

Nuranne · Answer

Bonjour à vous! 


Voici le rapport Hubertazz:




======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 01/09/10 à 16:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:53:26 le 03/09/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
Huda@PC-DE-HUDA (Packard Bell BV EasyNote_MX67) 
 
============== ACTION(S) ==============


0,Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskHPRFF.js
0,Dossier supprimé: C:\Program Files\Conduit
0,Dossier supprimé: C:\ProgramData\Viewpoint
0,Dossier supprimé: C:\Program Files\Viewpoint

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Huda\AppData\Roaming\Mozilla\FireFox\Profiles\3dvrr6lf.default\Prefs.js --
Ligne supprimée: user_pref("CT962950.SearchEngine", "%D8%A8%D8%AD%D8%AB||hxxp://search.conduit.com/Results.aspx?q=UCM... 
Ligne supprimée: user_pref("CT962950.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT9629... 
Ligne supprimée: user_pref("browser.search.defaultthis.engineName", "quranradio Customized Web Search"); 
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT962950&Sear... 
Ligne supprimée: user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT962950&q="); 
-- Fichier Fermé --
 

1,Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
0,Clé supprimée: HKLM\Software\MetaStream
0,Clé supprimée: HKLM\Software\Viewpoint
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
0,Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
0,Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Users\Huda\AppData\Roaming\Mozilla\FireFox\Profiles\3dvrr6lf.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [7.0.6002.18005] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 40 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 03/09/2010 (3837 Octet(s)) 

Fin à: 17:55:45, 03/09/2010 
 
============== E.O.F ============== 



... Au fait, j'ai voulu utiliser Regseeker pour désinstaller les restes de Norton, aol, et multiples programmes dépassés...  finalement, j'ai renoncer en lisant que c'était trop violent... 


Merci, et à plus tard! 

Bonne soirée !

gen-hackman · Answer

supprime ca si encore present :

c:\program files\common files\aol\acs\uninst.exe

hubertaaz · Answer

Hello,

Ce fichier a du être supprimé : https://forums.commentcamarche.net/forum/affich-18929697-pc-qui-rame-encore-et-encore-virus-ou-pas?page=2#44

Quoi qu'il en soit, après le nettoyage fait par Ad-Remover, installation du SP2 etc.,  je pense qu'il serait bon de procéder à un nouveau scan ZHPDiag .

Nuranne, ouvre ZHPDiag, en cliquant sur son icône sur le bureau, procède à la mise à jour en cliquant sur la flèche verte dans le coin supérieur droit.
Ensuite relance un diagnostic,  poste-le sur Ci-joint et colle le lien dans ta prochaine réponse.

Si tout roule, je pense que l'on pourra procéder au nettoyage des outils utilisés et purger la restauration système.

@+

Nuranne · Answer

Bonjour! 


Gen-Ha: Pour Aol, j'ai tout supprimé, dans programmes du moins... 


Hubertazz: Pour le scan, c'est par ici:
http://www.cijoint.fr/cjlink.php?file=cj201009/cijkfy0gbw.txt


Bonne journée! 
A+

hubertaaz · Answer

Bonjour Nuranne,

* En effet, dans le rapport, on ne voit plus ceci : O42 - Logiciel: AOL - Assistant de désinstallation - (.Pas de propriétaire.) [HKLM] -- Programme de désinstallation AOL


* Concernant la dernière modification de valeur dans le fichier Config.nt
Tu pourrais tester son efficacité en lançant MBAM quand d'autres programmes sont ouverts ;)


* Pour procéder au nettoyage des outils utilisés : lance ZHPFix en cliquant sur l'icône située sur le bureau. Clique sur le bouton rouge "A" situé dans le coin supérieur gauche, la liste des outils utilisés apparaît, clique ensuite sur "tous" et "nettoyer". 

Poste le rapport que tu trouveras en cliquant dans le coin supérieur droit sur l''icône "rapport de suppression".


* Le rapport ZHPDiag me paraît correct mais si gen-hackman a l'une ou l'autre remarque à y apporter, il ne manquera pas de se manifester.


A bientôt

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

C:\Windows\system32\conime.exe

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

Nuranne · Answer

Bonjouuuur! 

J'espère que vous allez bien... 



Hubertazz, j'ai effacé les outils comme expliqué, voici le rapport: 


Rapport de ZHPFix v1.12.3137 par Nicolas Coolman, Update du 22/08/2010
Fichier d'export Registre : 
Run by Huda at 05/09/2010 16:52:59
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Dossier(s) ==========
C:\Program Files\Ad-remover  => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O63 - Logiciel: Ad-Remover By C_XX  => 
O63 - Logiciel: ZHPDiag 1.26  => 


========== Récapitulatif ==========
1 : Dossier(s)
2 : Logiciel(s)


End of the scan



Et pour Gen, voici le rapport de Virus Total:


 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
conime.exe
Submission date:
2010-09-05 14:52:57 (UTC)
Current status:
queued queued analysing finished
Result:
0/ 43 (0.0%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.09.05.00	2010.09.04	-
AntiVir	8.2.4.50	2010.09.03	-
Antiy-AVL	2.0.3.7	2010.09.03	-
Authentium	5.2.0.5	2010.09.04	-
Avast	4.8.1351.0	2010.09.05	-
Avast5	5.0.594.0	2010.09.05	-
AVG	9.0.0.851	2010.09.05	-
BitDefender	7.2	2010.09.05	-
CAT-QuickHeal	11.00	2010.09.03	-
ClamAV	0.96.2.0-git	2010.09.05	-
Comodo	5980	2010.09.05	-
DrWeb	5.0.2.03300	2010.09.05	-
Emsisoft	5.0.0.37	2010.09.05	-
eSafe	7.0.17.0	2010.09.01	-
eTrust-Vet	36.1.7835	2010.09.03	-
F-Prot	4.6.1.107	2010.09.01	-
F-Secure	9.0.15370.0	2010.09.05	-
Fortinet	4.1.143.0	2010.09.05	-
GData	21	2010.09.05	-
Ikarus	T3.1.1.88.0	2010.09.05	-
Jiangmin	13.0.900	2010.09.05	-
K7AntiVirus	9.63.2442	2010.09.04	-
Kaspersky	7.0.0.125	2010.09.05	-
McAfee	5.400.0.1158	2010.09.05	-
McAfee-GW-Edition	2010.1B	2010.09.05	-
Microsoft	1.6103	2010.09.05	-
NOD32	5424	2010.09.05	-
Norman	6.05.11	2010.09.05	-
nProtect	2010-09-05.01	2010.09.05	-
Panda	10.0.2.7	2010.09.05	-
PCTools	7.0.3.5	2010.09.05	-
Prevx	3.0	2010.09.05	-
Rising	22.63.06.00	2010.09.05	-
Sophos	4.57.0	2010.09.05	-
Sunbelt	6834	2010.09.05	-
SUPERAntiSpyware	4.40.0.1006	2010.09.05	-
Symantec	20101.1.1.7	2010.09.05	-
TheHacker	6.5.2.1.364	2010.09.05	-
TrendMicro	9.120.0.1004	2010.09.05	-
TrendMicro-HouseCall	9.120.0.1004	2010.09.05	-
VBA32	3.12.14.0	2010.09.03	-
ViRobot	2010.8.31.4017	2010.09.05	-
VirusBuster	12.64.17.1	2010.09.04	-
Additional information
Show all
MD5   : 6080a176d09435fc8e6e800996656e18
SHA1  : 32a54f7cb5fae9842851556a15375afdda36e0e3
SHA256: 2e661732f83521ab1e33749de7e1478a05bc182b14f101531e908b1b555aca18
ssdeep: 1536:GeK3UJyk12FWz/38xD88BTopBbvAmyIqhzFC5Ap:3hyk12F+/qD88BTSRyISCK
File size : 69120 bytes
First seen: 2009-05-01 16:09:09
Last seen : 2010-09-05 14:52:57
TrID:
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Console IME
original name: CONIME.EXE
internal name: Console
file version.: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0xECC0
timedatestamp....: 0x49E01B39 (Sat Apr 11 04:23:21 2009)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0xF288, 0xF400, 6.57, 99b39bab8ff66bede7998c52df56235e
.data, 0x11000, 0x56C, 0x200, 3.36, 20158b2f9f494cf851576891812f7786
.rsrc, 0x12000, 0x8D0, 0xA00, 2.88, 7ccdd2a7b80bb0f03ecdd586636a2c9e
.reloc, 0x13000, 0x9CC, 0xA00, 5.80, 48d6173a996ecc345c7493153b21a308

[[ 10 import(s) ]]
ADVAPI32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey
KERNEL32.dll: lstrlenA, MultiByteToWideChar, VirtualQuery, RegisterConsoleIME, InterlockedExchange, Sleep, GetSystemInfo, VirtualAlloc, VirtualProtect, GetVersionExW, InterlockedDecrement, InterlockedIncrement, lstrlenW, WideCharToMultiByte, GetCommandLineW, RegisterApplicationRestart, HeapSetInformation, SetEvent, CreateThread, GetCurrentThreadId, OpenEventW, WaitForSingleObject, CloseHandle, GetACP, LocalAlloc, LocalReAlloc, LocalFree, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedCompareExchange, UnregisterConsoleIME
GDI32.dll: GetStockObject, TranslateCharsetInfo
USER32.dll: IsWindowEnabled, EnableWindow, UnregisterClassW, CreateWindowExW, RegisterClassW, LoadCursorW, SetForegroundWindow, RegisterWindowMessageW, DispatchMessageW, TranslateMessage, GetMessageW, GetKeyState, GetKeyboardLayoutNameW, PostQuitMessage, DefWindowProcW, GetGUIThreadInfo, IsWindow, DestroyWindow, SetTimer, LoadIconW, PostMessageW, SendMessageTimeoutW, KillTimer, AttachThreadInput, ActivateKeyboardLayout
msvcrt.dll: _vsnwprintf, memset, malloc, free, _amsg_exit, memcpy, _local_unwind4, __getmainargs, _cexit, _exit, _XcptFilter, _ismbblead, _acmdln, _initterm, _controlfp, _terminate@@YAXXZ, _onexit, _lock, __dllonexit, _unlock, _except_handler4_common, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, memmove, exit
ole32.dll: CoUninitialize, CoCreateInstance, CoInitializeEx
OLEAUT32.dll: -, -, -, -, -, -, -
UxTheme.dll: SetThemeAppProperties
IMM32.dll: ImmCreateContext, ImmReleaseContext, ImmGetContext, ImmGetGuideLineW, ImmGetConversionStatus, ImmGetOpenStatus, ImmSetConversionStatus, ImmGetProperty, ImmAssociateContext, ImmSimulateHotKey, ImmTranslateMessage, ImmCallImeConsoleIME, ImmGetIMEFileNameW, ImmEscapeW, ImmNotifyIME, ImmGetCandidateListW, ImmGetCompositionStringW, ImmGetHotKey, ImmSetActiveContextConsoleIME, ImmDestroyContext, ImmSetOpenStatus
MSCTF.dll: TF_IsCtfmonRunning, TF_WaitForInitialized, TF_Notify

VT Community

0

    This file has never been reviewed by any VT Community member. Be the first one to comment on it! 

VirusTotal Team 



Pas de virus donc! 



Je vois que vous avez des notices préparées, vous êtes bien équipés!)) 
... Je m'demandais... (si c'est indiscret, y'a qu'à zappé, mais)...  seriez vous salariés de ccm? Si c'est pas encore le cas, faut le devenir ;D! 




Merci !

gen-hackman · Answer

Télécharge SEAF.exe 


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) . 

*Une fenêtre "cmd" va s'ouvrir . 

*Tape CONIME.EXE  dans cette fenêtre et cohe la case MD5 , puis [Entrée]. 

*Patiente pendant la recherche. 

*Une fenêtre avec un log.txt va s'afficher. 

*Copie/colle ce rapport dans ta prochaine réponse. 
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤&#164