Popup antivir autorun bloqué et taskmgrs 100%

Trancy -  
 Trancy -
Bonjour, ou Bonsoir
Alors tout d'abord j'ai antivir qui arrête pas de me balancer des pop-up autorun bloqués. Je voulais les virer d'une manière ou d'une autre, mais j'ai l'impression que tant que l'ordi ne sera pas sain ça n'ira pas :-/ c: d: f: avec autorun.inf a été bloqué, et les classiques impossible de voir les fichiers cachés...
Bref en lisant les autres post j'ai installé ZHP voici le log : http://www.cijoint.fr/cjlink.php?file=cj201010/cijmRPkBg0.txt

Je précise que j'ai redémarré l'ordi et pendant le diagnostic le processus taskmgrs.exe plafonnait le proc à 100%. Je l'ai laissé tourné, j'ai eu droit à un écran bleu au bout de quelques minutes win32k.sys... vidage de la mémoire virtuelle, à la 2e tentative c'était ok... D'habitude ce processus m'empêche de me connecter tant que je ne l'ai pas kill et fait ramer bien sur. Si seulement je n'avais plus à le tuer pour pouvoir utiliser mon ordi ça me soulagerait :D

- Petite précision (que je pourrai explicité plus en détail) mon ordi a subi une attaque du virus W32/Stanit postérieurement aux symptômes que j'évoque avant (au passage, bien méchant ce *** de virus qui s'attaque aux exécutables!). Problème normalement résolu sauf pour l'antivir qui pense que les fichiers nettoyer par Avira removal tool et bitdefender "Contient le cheval de Troie TR/Crypt.XPACK.Gen"

- J'ai quelquefois la connexion réseau sans fil qui disparait sans raison... Elle revient après un ou plusieurs reboot-_-

Y aurait il une personne super sympa pour se pencher sur mes logs, car mes compétences informatiques ne s'étendent pas aux nouveaux logiciels de diagnostiques (chapeaux aux forumeurs qui gèrent ;)

17 réponses

  1. Trancy
     
    1ère tentative avec UsbFix : insertion disque dur Ok, lorsque j'ai insérer ma clef usb, écran bleu avec Avgntflt.sys vidage mémoire physique...
    2ème tentative idem mais moins instantannément
    3ème tentative ok.
    Voici le log UsbFix : http://www.cijoint.fr/cjlink.php?file=cj201010/cijwd45a0v.txt
    Constat immédiat, plus de popup, et après paramétrage je peux voir les fichiers cachés...
    Je redémarre pour voir...
    0
  2. Trancy
     
    Après le redémarage, ca me semble bon le proc s'enflamme moins, mais il le DD grate pas mal, puis au bout de quelques secondes rebelotte taskmgrs.exe s'affole.
    Les fichiers sont de nouveaux cachés, quand je reconfig il réapparaissent, puis redisparaissent. 1 2 3 soleil ;=)
    Par contre Popup réglé ! :D Merci UsbFix
    0
  3. Trancy
     
    J'ai passé un coup de Ad-Remover voila le log : http://www.cijoint.fr/cjlink.php?file=cj201010/cijz3keCW9.txt
    Toujours les memes problemes au démarrage taskmgrs.exe par contre s'est fermé de facon innatendu (boite de dialogue)
    0
  4. Trancy
     
    J'ai relancer ZHP et j'ai ca directement à l'ecran http://www.cijoint.fr/cjlink.php?file=cj201010/cijayJuetj.txt avec un bouton ok en bas, l'interface à changer ou bien ?
    Je ferai un Malwarebytes'Anti-Malware dem1, dodo time...
    Sinon des idées pour Taskmgrs.exe ???
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Cosmi10 Messages postés 930 Statut Membre 89
     
    Faites tout ce qu'y est proposés sur cette page.

    En commençant par sauvegarder vos données importantes sur DVD !
    0
  7. Trancy
     
    Je m'y colle !
    Merci pour la réponse en tout cas
    Avant que je ne le fasse je vais quand meme explicité ce qui s'est passer car je pensais pas avoir une réponse sur Virut, que j'ai surement pris a la légère :
    Mon système a été infecté, suite a l'infection j'ai utiliser bitdefender et Avira removal tool comme je l'ai déjà dit. Puis voyant que pas mal des exécutables sous C étaient mort j'ai décider de revenir a un point de restauration (qui n'est pas clean de tout problème) mais que j'ai choisi car tout est installé pour mon boulot (point de restauration grace a samsung recovery)... Et toutes les modif que j'ai posté se situe donc après le point de restauration. En gros dans mon point de restauration y avais le pb d'autorun.inf résolu et le taskmgrs qui sature.
    Voila voila pour l'histoire chronologique. Maintenant eradication de W32/Virut ;)
    0
    1. Cosmi10 Messages postés 930 Statut Membre 89
       
      Le redémarrage de l'ordi.
      Tout comme l'utilisation de points de restauration, sont à éviter en situation d'infection. Puisqu'ils y a de grandes possibilité qu'ils aient été eux même infectés. Ce qui propage davantage l'infection.
      0
    2. Trancy
       
      J'ai pris mes précautions pour faire cette restauration, enfin je pense. Passage de 2 antivirus. Plus de signe du virus. Puis après ca j'ai lancer la restauration (redemarrage et lancement de la version samsung recovery (le virus ne peux pas se propager si ?), puis utilisation d'un disque dur externe sur lequel était le point de restauration, donc non contaminer?
      0
  8. Trancy
     
    Voila j'ai fini le premier scan -_-
    Je croyais que ca n'allais jamais finir (presque 24h) avec Dr.Web voila le rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201010/cijz9BRKPo.txt
    L'extension .cvs n'est pas supporter par cijoint donc j'ai changer l'extension en .txt
    0
    1. Cosmi10 Messages postés 930 Statut Membre 89
       
      Ça ne montre que des trucs mis en quarantaine par Antivir !

      Pour Ad-Remover..
      Ça devient caduc après utilisation. Y a une option au lancement pour le [Désinstaller].
      0
  9. Trancy
     
    Donc C'est bon pour le virus W32/Stanit !

    Par contre toujours le même problème avec le processus taskmgrs (le S est important je pense) qui sature le processeur a 100% au démarrage.
    Au passage j'ai vu un fichier caché suspect sous d: qui s'appelle setup.exe et qui en commentaire affiche taskmgrS Microsoft. Quand j'essai de le deplacé il se recopie, pareil pour la suppression.

    Bref pour taskmgrs je ne vois pas de solution
    0
  10. Cosmi10 Messages postés 930 Statut Membre 89
     
    Relancer ZHPDiag et poster un nouveau rapport.
    0
  11. Trancy
     
    alors avant votre ou ta réponse j'ai lancer une recherche avec Malwarebytes. Apparement ca correspond bien a mon problème : voila le log
    http://www.cijoint.fr/cjlink.php?file=cj201010/cijTZnAELb.txt
    présence de Trojan.Banker
    Je fait un ZHPDiag et je repost
    0
  12. Trancy
     
    voila le log ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201010/cijxbWJspn.txt
    Merci encore pour ton aide
    0
  13. Cosmi10 Messages postés 930 Statut Membre 89
     
    Reste des traces inactive de taskmgrs.

    IMPORTANT; Avez vous installé un VPN ..d'accès à distance ?
    ___________________________________________________________

    Lancer ZHPFix.exe par un double-clique
    • Sélectionner tout et Copier(par un clic-droit) cette page Web
    • Cliquez sur le bouton [H].
    • Cliquez sur [OK]
    • Cliquez sur [Tous] et sur [Nettoyer],

    ► Si ça vous est proposé, redémarrer le PC

    ► Poster le rapport.


    ___________________________________________________________

    Aller supprimer ce répertoire ;
    C:\Documents and Settings\Trancy\Application Data\system

    • Aller dans Démarrer → Tout les programmes → Accessoires ..
    • Ouvrez l'invité de commandes par un clic-droit → Exécuter en tant qu'adm..
    • Copier/coller(par un clic-droit) les commandes suivantes et valider pour chacune :
    sc stop yksvc
    sc delete yksvc

    ___________________________________________________________

    Créer un raccourci, placer sur le bureau, pour utilisation au besoin..
    • SuperCopier2
    ___________________________________________________________

    Mises à jours Logiciels.
    Important pour prévenir les failles de sécurités.

    • Adobe : https://get2.adobe.com/reader/otherversions/

    • Faites les mise à jours proposées par Sumo Lite
    ► À vérifier aux 30jours.

    ___________________________________________________________

    Lancez Ccleaner

    • Cliquez sur "Option" et → "Avancé" et Décochez
    Effacer uniquement les fichiers temporaire .. de plus de 48 heures,

    • Sélectionnez "Nettoyeur" et cliquez sur → "Windows", allez à la section "Avancé",
    • Et Cochez uniquement la première case "Vieilles données du prefetch",

    • Sélectionnez le bouton [Analyse].., lorsque complété,
    • Cliquer sur [Nettoyage], jusqu'à ce que la fenêtre soit vide.

    Lorsque ce nettoyage est complété.
    Remettre les options standard, pour une utilisation au quotidien.
    • Allez Recocher dans les Options → Avancé : Effacer uniquement les fichiers temporaire .. de plus de 48 heures
    • Et Décocher "Vieilles données du prefetch" dans Nettoyeur → Windows
    0
  14. Trancy
     
    Effectivement j'ai installer le logiciel VPN client de cisco
    Pour le fix de ZHP j'ai eu un plantage pour le premier essai ecran bleu...
    2eme essai j'ai l'impression que c'est ok. Voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201010/cijr5cWw7j.txt
    0
    1. Trancy
       
      En détail juste après avoir clicker ok tous, et nettoyer il y a l'installeur de java qui s'est lancé... j'ai poursuivi, et j'ai eu le plantage ecran bleu, je ne sais pas si l'installation etait terminé. J'ai refait la manip avec ZHPfix, de nouveau installation de java mais cette fois à la fin de l'installe il m'indique le message d'erreur de ce type : http://www.cijoint.fr/cjlink.php?file=cj201010/cijrXvg4rc.jpg
      Puis j'installe la MAJ pour adobe et j'ai eu le message d'erreur précédent.
      Au niveau du disque dur c'est ok pour la place...
      0
    2. Trancy
       
      ok tout a été fait, une question encore : Est ce que je peux encore utiliser Supercopier ? Car j'ai pas bien compris le message du raccourci sur le bureau, d'autant plus que c'est un logiciel qui se lance au démarrage de windows... Dois-je le réinstaller ?
      Merci
      0
    3. cosmi10
       
      Supercopier était installé pour être lancé automatiquement à chaque ouverture de la session.
      La il à été désactivé de ce démarrage autgomatique.

      Alors lorsque vous voudrez l'utiliser, vous devrez le lancer depuis son rép. d'installation. Tant qu'à y être, autant lui créer un raccourci, que vous pourrez déplacer quelque part sur le bureau, pour utilisation au besoin.
      0
    4. Trancy
       
      d'accord :)
      J'ai fait un dernier log de ZHP le voici http://www.cijoint.fr/cjlink.php?file=cj201010/cij3lEsBRS.txt
      0
  15. Cosmi10 Messages postés 930 Statut Membre 89
     
    .
    >> Faites les procédure dans la séquences où elles sont placées.

    Télécharger TDSSKiller.zip sur le bureau (de Kaspersky)
    • Décompresser TDSSKiller.zip sur le bureau

    /|\ Désactiver l'antivirus et autre protection. /|\
    /|\ Fermer toute les applications/fenêtres /|\

    Ouvrez l'outil et cliquer sur [Start] pour lancer le scan,
    Après le scan, si des infections (Image IPB) ont été retracée..
    • Vérifier que l'option Image IPB (Cure) est sélectionnée

    • Si des objects suspects ("Suspicious objects") ont été détectés,
    • Alors modifier l'action à faire → Quarantine (au lieu de Skip),
    • Et cliquer sur le bouton Image IPB [Continue],

    ..Attendre l'affichage du fichier rapport.
    ..Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage,
    • Cliquer sur le bouton Image IPB [Reboot computer].

    Poster le rapport de TDSSKiller (C:\TDSSKiller.Version_Date_Heure_log.txt)

    /|\ Réactiver l'antivirus et autre protection. /|\
    ____________________________________________________________________

    Lancer ZHPFix.exe par un double-clique.
    • Sélectionner tout et Copier(par un clic-droit) cette page Web
    • Cliquez sur le bouton [H].
    • Cliquez sur [OK]
    • Cliquez sur [Tous] et sur [Nettoyer],

    ► Redémarrer le PC

    ► Poster le rapport.

    ____________________________________________________________________

    Vérifier dans MsConfig → [Processus].
    Pour Décocher d'autre processus qui ne vous sont peut-être pas utiles.

    Ou pour ceux que vous utilisez +-occasionnellement
    Vous pouvez les désactiver et leurs créer un raccourci sur le bureau. pour utilisation au besoin.
    En cas de problème ou par besoin, n'auriez qu'à les Recocher.

    Accessible : Démarrer → Exécuter.., entrez msconfig et valider.
    Aller dans [Processus] et procédé en Décochant ceux non-nécessaires.

    BatteryManager : Possiblement qu'un panneau de control, ..à vérifier.
    C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe

    lxbkbmgr : description
    C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe

    hkcmd : description
    C:\WINDOWS\system32\hkcmd.exe

    Winampa : description
    C:\Program Files\Winamp\Winampa.exe

    ACU : description .. vérifier.
    C:\Program Files\Atheros WLAN Client\ACU.exe

    BTTray : description
    C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

    Vérifier ceux-ci qui sont sur le D:\ ?
    OS_Events : D:\telechargement\OS_Events\OS_Events.exe
    winamp : D:\Logiciel PORTABLE\winamp\winamp.exe
    0
  16. Trancy
     
    Voila le rapport de TDSKILLER : http://www.cijoint.fr/cjlink.php?file=cj201010/cijdkRA1aK.txt j'ai pas l'impression qu'il a pu faire la mise en quarantaine car après un nouveau scan il me trouve tjs la meme chose autre rapport : http://www.cijoint.fr/cjlink.php?file=cj201010/cij5KJURE1.txt

    pour les valeurs que tu m'as dit de supprimer je l'ai fait mais j'aimerais bien remettre :
    OPT:O4 - HKLM\..\Run: [DMHotKey] . (.SAMSUNG Electronics - Loader of Easy Display Manager - Display Co.) -- C:\Program Files\Samsung\Easy Display Manager\DMLoader.exe
    OPT:O4 - HKLM\..\Run: [MagicKeyboard] . (.Pas de propriétaire - PreMKBD before Magic Keyboard Program.) -- C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe
    car c'est des raccourcis pour le portable avec touche fn

    Pour le reste rien de suspect
    0
  17. cosmi10
     
    j'aimerais bien remettre

    • Aller dans Démarrer → Tout les programmes → Accessoires ..
    • Ouvrez l'invité de commandes
    • Copier/coller(par un clic-droit) les commandes suivantes et valider pour chacune :

    Reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v DMHotKey /t REG_SZ /d "C:\Program Files\Samsung\Easy Display Manager\DMLoader.exe" /f
    
    Reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v MagicKeyboard /t REG_SZ /d "C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe" /f 
    0