Ralentissement sur une machine puissante Fermé

Question

Bonjour, 
j'observe des ralentissements en démarrage normal (pas en mode "sans échec" où tout va bien) après l'installation d'une nouvelle machine avec un processeur Intel W3550 (soit un truc hyper puissant).
Voila mon log Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:57, on 14/06/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Logiciels\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Logiciels\DirectUpdate v4\DUEngine.exe
D:\Logiciels\Gene6 FTP Server\G6FTPSERVER.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
D:\Logiciels\NEC Electronics\USB 3.0 Host Controller Driver\Application
usb3mon.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\system32	askswitch.exe
D:\Logiciels\Unlocker\UnlockerAssistant.exe
D:\Logiciels\Zone Labs\ZoneAlarm\zlclient.exe
D:\Logiciels\AVAST Software\Avast\avastUI.exe
D:\Logiciels\DirectUpdate v4\DUControl.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Logiciels\DAEMON Tools Lite\DTLite.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
D:\Logiciels\Gene6 FTP Server\G6FTPTray.exe
D:\Logiciels\FreeMi UPnP Media Server\FreeMi UPnP Media Server.exe
C:\Program Files\NVIDIA Corporation\Performance Drivers
vPDsvc.exe
D:\Logiciels\Trillian	rillian.exe
C:\WINDOWS\system32
vsvc32.exe
D:\Logiciels\Cygwin\bin\cygrunsrv.exe
D:\Logiciels\Cygwin\usr\sbin\sshd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
E:\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/cas/login?service=https%3A%2F%2Fwww.sfr.fr%2Faccueil%2Fj_spring_cas_security_check&domain=mon-compte
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - D:\Logiciels\Vuze_Remote\prxtbVuze.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IEpbrowserrecordplugin.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - D:\Logiciels\ConduitEngine\prxConduitEngine.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - D:\Logiciels\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - D:\Logiciels\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Vuze Remote - {ba14329e-9550-4989-b3f2-9732e92d17cc} - D:\Logiciels\Vuze_Remote\prxtbVuze.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - D:\Logiciels\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - D:\Logiciels\Xi\NetXfer\NXToolBar.dll
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - D:\Logiciels\Vuze_Remote\prxtbVuze.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - D:\Logiciels\ConduitEngine\prxConduitEngine.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NUSB3MON] "D:\Logiciels\NEC Electronics\USB 3.0 Host Controller Driver\Application
usb3mon.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32	askswitch.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Logiciels\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Logiciels\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast] "D:\Logiciels\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [DUControl] "D:\Logiciels\DirectUpdate v4\DUControl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Logiciels\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [G6FTP Server Tray Monitor] "D:\Logiciels\Gene6 FTP Server\G6FTPTray.exe"
O4 - HKCU\..\Run: [FreeMi UPnP Media Server] D:\Logiciels\FreeMi UPnP Media Server\FreeMi UPnP Media Server.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Trillian.lnk = D:\Logiciels\Trillian	rillian.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Logiciels\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec NetXfer - D:\Logiciels\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Télécharger avec NetXfer - D:\Logiciels\Xi\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1307784580703
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos-beta/OnlineScanner.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (Emsisoft Web Malware Scan) - http://ax.emsisoft.com/emsisoft_webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD3560D7-6B82-4C8C-85CF-23DFC1BF3F94}: NameServer = 212.27.40.240,212.27.40.241
O23 - Service: avast! Antivirus - AVAST Software - D:\Logiciels\AVAST Software\Avast\AvastSvc.exe
O23 - Service: DirectUpdate - Moteur (DirectUpdate) - http://www.directupdate.net/ - D:\Logiciels\DirectUpdate v4\DUEngine.exe
O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - D:\Logiciels\Gene6 FTP Server\G6FTPSERVER.EXE
O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - D:\Logiciels\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Performance Driver Service - Unknown owner - C:\Program Files\NVIDIA Corporation\Performance Drivers
vPDsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: CYGWIN sshd (sshd) - Unknown owner - D:\Logiciels\Cygwin\bin\cygrunsrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8754 bytes

Quelqu'un voit quelque chose qui cloche ?
Merci de votre aide.


Configuration: Windows XP / Firefox 4.0.1

juju666 · Answer

Hello

Désinstalle Vuze Toolbar et Conduit Toolbar puis télécharge ça : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

tu le lance en administrateur, clique sur la loupe, aux 100% tu ferme et tu héberge le rapport sur cijoint.fr
colle le lien ici

a+

Binome · Answer

OK, j'ai fait ça et voila le lien : http://www.cijoint.fr/cjlink.php?file=cj201106/cijIN187tt.txt

juju666 · Answer

bien

Avertissement: Il y aura une courte extinction du bureau pendant que l''outil travaillera --> pas de panique. 

désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu 

Télécharge Pre_scan (de gen-hackman)

&#9830 Enregistre le sur ton bureau  
s'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau 

&#9654 Exécute Pre_scan. Si l'outil détecte un proxy  et que tu n''en as pas installé  clique sur "supprimer le proxy"

&#9654 Une fois qu'il aura fini, un rapport s'ouvrira. 

&#9830 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

====================================================

&#9654 Télécharge Malwarebytes'' Anti-Malware  et enregistre le sur ton bureau.  

&#9654 &#9654 Miroir 1 si inaccessible  

&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d''installation.  
Laisse le s'installer avec les options par défaut...
Une fois installé, exécute Malwarebytes.

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu''Administrateur »  

&#9654 S'il te demande de faire la mise à jour, accepte. 
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Coche tous tes disques
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur ''Afficher les résultats'' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d''analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log  
&#9654 Tu clique dessus pour l'afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d''aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

&#9654 &#9654 Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

Binome · Answer

Rapport Pre_scan : http://www.cijoint.fr/cjlink.php?file=cj201106/cijiqoFStQ.txt
Rapport MBAM :

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6858

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14/06/2011 21:50:36
mbam-log-2011-06-14 (21-50-13).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|R:\|)
Elément(s) analysé(s): 288632
Temps écoulé: 31 minute(s), 58 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
f:\system volume information\_restore{6824605b-f722-4ff2-ac44-fccdcbb44fc7}\RP29\A0007808.exe (RiskWare.Tool.CK) -> No action taken.
f:\system volume information\_restore{6824605b-f722-4ff2-ac44-fccdcbb44fc7}\RP34\A0012279.exe (RiskWare.Tool.CK) -> No action taken.
f:\system volume information\_restore{6824605b-f722-4ff2-ac44-fccdcbb44fc7}\RP35\A0012307.exe (RiskWare.Tool.CK) -> No action taken.
f:\system volume information\_restore{6824605b-f722-4ff2-ac44-fccdcbb44fc7}\RP48\A0014067.exe (Backdoor.RBot) -> No action taken.

juju666 · Answer

nickel :)

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe

&#9654 Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur » 

&#9654 Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

Binome · Answer

Je comprends pas, c'est ce que j'ai fait hier avec la réponse de 20h50...

juju666 · Answer

oui ben on vérifie que tout est parti ^^ 
 .::. Contributeur Sécurité .::.

Binome · Answer

OK, alors voila le lien : http://pjjoint.malekal.com/files.php?id=ec8057e460131014

juju666 · Answer

on va vérifier cette dll que je ne connais pas

&#9654 Rentre dans ton panneau de configuration....       
&#9654 Apparence et personnalisation...       
&#9654 Option des dossiers...(double cliquer dessus)       
&#9654 Dans l''onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option    
&#9654 Encore plus bas : Masquer les fichiers protégés du système d''exploitation (recommandé) : à décocher.    

&#9654 &#9654 ensuite rends toi sur ce lien:    
https://www.virustotal.com/gui/    

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr   


&#9654 Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"    
recherche les entrées suivante dans ton disque :    


C:\WINDOWS\System32\1stscrhook.dll   

clique sur envoyer
&#9654 Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant    

&#9654 Copie et colle le lien de ta barre d''adresse ici, après que l''analyse soit terminée

Binome · Answer

Et voila le résultat : http://www.virustotal.com/file-scan/report.html?id=892bed5bf59129090b5e5c7b255dd4a8020722724cced70d96ead26ebe15e134-1308137940

juju666 · Answer

Il me semblait bien que ça craignait ce truc ^^

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified 
O69 - SBI: prefs.js [Romain - 3vdk1p1o.default] user_pref("extensions.toolbar@ask.com.install-event-fired", true);   
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]     
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]  
O44 - LFC:[MD5.925ACDBFEC520F1E4C7DFCCA3FD59CE7] - 15/06/2011 - 10:49:43 ---A- . (...) -- C:\WINDOWS\System32\1stscrhook.dll   [32768]   
M3 - MFPP: Plugins - [Romain] -- C:\Documents and Settings\Romain\Application Data\Mozilla\Firefox\Profiles\3vdk1p1o.default\searchplugins\conduit.xml    => Toolbar.Conduit
M2 - MFEP: prefs.js [Romain - 3vdk1p1o.default\engine@conduit.com] [] Conduit Engine  v3.3.3.2 (.Conduit Ltd..)    => Toolbar.Conduit
M2 - MFEP: prefs.js [Romain - 3vdk1p1o.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Community Toolbar v3.3.3.2 (.Conduit Ltd..)    => Toolbar.Conduit
[HKLM\Software\Conduit]    => Toolbar.Conduit
O43 - CFD: 14/06/2011 - 18:08:02 - [99227] ----D- C:\Documents and Settings\Romain\Local Settings\Application Data\Conduit    => Toolbar.Conduit
O69 - SBI: C:\Documents and Settings\Romain\Application Data\Mozilla\Firefox\Profiles\3vdk1p1o.default\searchplugins\conduit.xml    => Toolbar.Conduit
O69 - SBI: prefs.js [Romain - 3vdk1p1o.default] user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091    => Toolbar.Conduit
O69 - SBI: prefs.js [Romain - 3vdk1p1o.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091    => Toolbar.Conduit
O69 - SBI: prefs.js [Romain - 3vdk1p1o.default] user_pref("keyword.URL", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");    => Toolbar.Conduit
O69 - SBI: SearchScopes [HKCU] {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} [DefaultScope] - (Web Search) - http://search.conduit.com    => Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]    => Toolbar.Conduit
[HKLM\Software\Classes\Conduit.Engine]    => Toolbar.Conduit
[HKLM\Software\Classes\Toolbar.ct2504091]    => Toolbar.Agent
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]    => Toolbar.Conduit
[HKLM\Software\Conduit]    => Toolbar.Conduit
C:\Documents and Settings\Romain\Local Settings\Application Data\Conduit    => Toolbar.Conduit
C:\Documents and Settings\Romain\Application Data\Mozilla\Firefox\Profiles\3vdk1p1o.default\Conduit    => Toolbar.Conduit
C:\Documents and Settings\Romain\Application Data\Mozilla\Firefox\Profiles\3vdk1p1o.default\ConduitEngine    => Toolbar.Conduit
C:\Documents and Settings\Romain\Application Data\Mozilla\Firefox\Profiles\3vdk1p1o.default\Extensions\engine@conduit.com    => Toolbar.Conduit
C:\Documents and Settings\Romain\Application Data\Mozilla\Firefox\Profiles\3vdk1p1o.default\SearchPlugins\conduit.xml    => Toolbar.Conduit
emptytemp



&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur

==========================================

pourrais tu de la même façon qu'avant analyser cette dll sur virustotal ?
C:\WINDOWS\System32\cpwmon2k.dll

Binome · Answer

Quand je fais ça, ZHPFix me répond "Violation d'accès à l'adresse 00427C8A dans le module 'ZHPFix.exe'. Lecture de l'adresse 00000008.".
J'ai essayé d'effacer 1stscrhook.dll en mode sans échec, j'aurais peut-être pas dû...
L'autre dll a l'air saine : http://www.virustotal.com/file-scan/report.html?id=94a1ed16c4257a26cdb572e1116bf5fdee91ffb9cf338567b97555c6ee1bf0e5-1308146460

juju666 · Answer

Tu as eu un rapport pour ZHPFix? 
ZHPFixReport.txt

si oui colle le ici.

=========
pour la premiere dll pas de soucis de toute façon j allais la supprimer via zhpfix justement. c est un reste de rogue.

pour la seconde, celle que tu viens d analyser, elle est signée Acro Software; ça te dit quelque chose ? 

=========
en attente rapport zhpfix donc..

Binome · Answer

Non, j'ai pas de rapport.
=============
Pour Acro Software, c'est bon, c'est mon imprimante pdf

juju666 · Answer

Ok.

On retente zhpfix mais 

Copie les lignes suivantes :

[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified 
O69 - SBI: prefs.js [Romain - 3vdk1p1o.default] user_pref("extensions.toolbar@ask.com.install-event-fired", true);   
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]     
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]  
O44 - LFC:[MD5.925ACDBFEC520F1E4C7DFCCA3FD59CE7] - 15/06/2011 - 10:49:43 ---A- . (...) -- C:\WINDOWS\System32\1stscrhook.dll   [32768]   
M3 - MFPP: Plugins - [Romain] -- C:\Documents and Settings\Romain\Application Data\Mozilla\Firefox\Profiles\3vdk1p1o.default\searchplugins\conduit.xml     
M2 - MFEP: prefs.js [Romain - 3vdk1p1o.default\engine@conduit.com] [] Conduit Engine  v3.3.3.2 (.Conduit Ltd..)  
M2 - MFEP: prefs.js [Romain - 3vdk1p1o.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Community Toolbar v3.3.3.2 (.Conduit Ltd..) 
[HKLM\Software\Conduit]    
O43 - CFD: 14/06/2011 - 18:08:02 - [99227] ----D- C:\Documents and Settings\Romain\Local Settings\Application Data\Conduit   
O69 - SBI: C:\Documents and Settings\Romain\Application Data\Mozilla\Firefox\Profiles\3vdk1p1o.default\searchplugins\conduit.xml 
O69 - SBI: prefs.js [Romain - 3vdk1p1o.default] user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091    
O69 - SBI: prefs.js [Romain - 3vdk1p1o.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091  
O69 - SBI: prefs.js [Romain - 3vdk1p1o.default] user_pref("keyword.URL", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");   
O69 - SBI: SearchScopes [HKCU] {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} [DefaultScope] - (Web Search) - http://search.conduit.com    
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]  
[HKLM\Software\Classes\Conduit.Engine]   
[HKLM\Software\Classes\Toolbar.ct2504091]  
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]   
[HKLM\Software\Conduit]   
C:\Documents and Settings\Romain\Local Settings\Application Data\Conduit   
C:\Documents and Settings\Romain\Application Data\Mozilla\Firefox\Profiles\3vdk1p1o.default\Conduit     
C:\Documents and Settings\Romain\Application Data\Mozilla\Firefox\Profiles\3vdk1p1o.default\ConduitEngine    
C:\Documents and Settings\Romain\Application Data\Mozilla\Firefox\Profiles\3vdk1p1o.default\Extensions\engine@conduit.com   
C:\Documents and Settings\Romain\Application Data\Mozilla\Firefox\Profiles\3vdk1p1o.default\SearchPlugins\conduit.xml   
emptytemp

ouvre zhpfix, clique sur le bouton [ H ]
Clique sur le bouton [ GO ]
Poste le rapport qui apparait à l écran

Binome · Answer

Bon ben toujours la même erreur, je crois que je vais refaire un installation.

juju666 · Answer

tu peux m'en dire plus s'il te plait ?
il te fais cette erreur (violation machin) à quel moment?
quand tu clique sur ok, il fait quoi?

Binome · Answer

Alors je clique sur "Go", la barre de progression avance de 4 carrés et la fenêtre d'erreur s'affiche.
Un autre truc que j'ai remarqué : à chaque fois que j'ouvre ZHPDiag ou ZHPFix, ça ferme Firefox...

Binome · Answer

Même erreur en mode sans échec. Mais j'ai pu supprimer l'extension Conduit sans problème par Firefox.
Je crois que la suppression de 1stscrhook.dll a stoppé les ralentissements en fait mais le fait d'avoir eu ça m'a rendu parano et au moindre truc qui met plus d'une seconde à se lancer, j'ai l'impression que c'est revenu. Je crois que je vais laisser comme ça et voir à l'usage...

juju666 · Answer

Hello :)

Si cela ne te dérange pas j'aimerai comprendre ce qui fait planter ZHPFix ! 
On va faire par tâtonnement ! ...

Réalise un zhpfix comme expliqué, uniquement avec la première partie du script à savoir :

[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified 
O69 - SBI: prefs.js [Romain - 3vdk1p1o.default] user_pref("extensions.toolbar@ask.com.install-event-fired", true);   
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]     
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]  
O44 - LFC:[MD5.925ACDBFEC520F1E4C7DFCCA3FD59CE7] - 15/06/2011 - 10:49:43 ---A- . (...) -- C:\WINDOWS\System32\1stscrhook.dll   [32768]   
M3 - MFPP: Plugins - [Romain] -- C:\Documents and Settings\Romain\Application Data\Mozilla\Firefox\Profiles\3vdk1p1o.default\searchplugins\conduit.xml     
M2 - MFEP: prefs.js [Romain - 3vdk1p1o.default\engine@conduit.com] [] Conduit Engine  v3.3.3.2 (.Conduit Ltd..)  
M2 - MFEP: prefs.js [Romain - 3vdk1p1o.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Community Toolbar v3.3.3.2 (.Conduit Ltd..) 
[HKLM\Software\Conduit]    
O43 - CFD: 14/06/2011 - 18:08:02 - [99227] ----D- C:\Documents and Settings\Romain\Local Settings\Application Data\Conduit  

A+  merci !

Binome · Answer

Alors après pas mal de tests, j'annonce que c'est la première ligne du script qui provoque le plantage. Si je l'enlève ça passe et le rapport est là : http://www.cijoint.fr/cjlink.php?file=cj201106/cijIYCdsij.txt

Une idée ?

juju666 · Answer

On va voir :)
merci en tout de nous aider à trouver la solution à ce soucis !

télécharge registry tool : http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/6-registrytool 

dans RegExport, tape ça : 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
clique sur Exporter 
________________________
idem avec ça :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
________________________
envoie les 2 fichiers reg créés sur ton bureau sur cijoint et transmet moi les liens stp

Binome · Answer

Pour la première clé, c'est http://www.cijoint.fr/cjlink.php?file=cj201106/cijaYuk2vc.txt
Pour la deuxième, il dit qu'elle n'existe pas et en effet elle n'est pas présente dans le registre.

juju666 · Answer

Re,

Je crois avoir décelé le bug de ZHPFix, je préviens Nicolas Coolman, merci de tes essais :)

Nous allons remettre la clé à sa valeur d'origine :)

&#9654 Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

&#9654 Double-clique sur OTM.exe pour le lancer.

&#9654 Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
   
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=dword:00000000


&#9654 Clique sur MoveIt! puis ferme OTM.

&#9654 Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

&#9654 Accepte en cliquant sur YES.

&#9654 Poste le rapport situé dans C:\_OTM\MovedFiles.

&#9654 Le nom du rapport correspond au moment de sa création : date_heure.log

Binome · Answer

Voila le log :
Error: Unable to interpret < > in the current context!
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"UpdatesDisableNotify"|dword:00000000 /E : value set successfully!
 
OTM by OldTimer - Version 3.1.18.0 log created on 06162011_131221

La première ligne est surement due à un copier/coller excessif.

juju666 · Answer

oui ^^

redémarre ton pc, passe un coup de malwarebytes en rapide stp

Binome · Answer

Encore un souci : j'ai désinstallé Malwarebytes et quand je veux le réinstaller, je lance l'installateur et il me dit "Programme trop grand pour tenir en mémoire"...

juju666 · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ XP: double clic ▶ ▶ Vista/7: clic droit, exécuter en tant qu''administrateur ▶ ▶ Vista/7 : l''UAC demande confirmation > valider par Oui ▶ clique 2 fois sur Ok ▶ clique sur Commencer le scan ▶ réponds Oui ==> L''analyse rapide démarre (si un pop up s''ouvre, clique sur la croix pour le fermer) A la fin du scan rapide, il se peut que l''on te demande de restaurer le fichier hosts > Oui Ensuite: touche F9 Onglet Actions Coté Malwares: choisir Quarantaine pour Adwares, Dialers,... [TOUS] Valider par Ok ▶ choisi analyse complète et clique sur le Play vert ▶ De retour à la fenêtre principale : clique pour activer ▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶ Clique pour tout à l''invite "Désinfecter ?" lorsqu''un fichier est détecté, et ensuite clique "Désinfecter". >> Si tu as un soucis (la mémoire ne peut pas être Read) clique deux fois sur ok et redémarre en mode sans échec, refais les mêmes manipulations ▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur l'' icône, adjacente aux fichiers détectés (plusieurs feuilles l''une sur l''autre). Si oui, alors clique dessus et ensuite clique sur l''icône , au dessous, et choisis . ▶ Du menu principal de l''outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶ Ferme Dr.Web Cureit ▶ Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). ▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse

Binome · Answer

Après quelques heures (en même temps 442000 fichiers ! J'ai qu'à faire le ménage.), voila le rapport :
A0007808.exe;F:\System Volume Information\_restore{6824605B-F722-4FF2-AC44-FCCDCBB44FC7}\RP29;Trojan.Packed.650;Supprimé.;
A0012279.exe;F:\System Volume Information\_restore{6824605B-F722-4FF2-AC44-FCCDCBB44FC7}\RP34;Trojan.Packed.650;Supprimé.;
A0012307.exe;F:\System Volume Information\_restore{6824605B-F722-4FF2-AC44-FCCDCBB44FC7}\RP35;Trojan.Packed.650;Supprimé.;
A0014041.exe;F:\System Volume Information\_restore{6824605B-F722-4FF2-AC44-FCCDCBB44FC7}\RP47;Tool.Killproc.3;Quarantaine.;

juju666 · Answer

bizarre pour MBAM. rien ne justifie qu'il ne veuille s'exécuter.
télécharge le de là : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

Binome · Answer

Même erreur.

juju666 · Answer

mouais .... bah tant pis. c'est pas viral. je crois que c'est un bug de leur installeur.

Procédure d'optimisation/d'entretien/de prévention  

&#9654 Télécharge ici : PureRa (par l''editeur de JavaRa) 

&#9654 Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7) 

=> Configuration en vidéo ( merci gen-hackman ) 

&#9654 clique sur "Clean" 

&#9654 L''outil va faire son scan puis son nettoyage 

&#9654 à la fin du rapport tu auras une ligne comme ca : 

Total space cleaned: 8140878 bytes 

&#9654 transmets juste cette ligne , le reste importe peu  

------ 

&#9654 télécharge et installe Ccleaner 

&#9654 cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" &#9654 &#9654 cliques maintenant sur registre et puis sur "rechercher les erreurs " 
&#9654 laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"  
&#9654 il te demande de sauvegarder ==> OUI  
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre  
&#9654 cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK  
&#9654 Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs"  

&#9654 tu peux fermer Ccleaner  

------  

Fais une recherche des erreurs de disque : 
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d''avertissement et redémarrez votre système. 

------ 

Défragmente tes disques dur : 
Télécharge Deffragler, et défragmente tes disques.  

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :  

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme 
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm 

------  

&#9654 Mises à jour Windows :  

Il est très important de maintenir son système à jour car ceci comble les failles de sécurité par lesquelles les malwares ("virus") s'introduisent ... 


&#9654 Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5 


&#9654 Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat. 

----- 

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp   

&#9654 Désinstaller les anciennes versions de Java :   

&#9654 Télécharge JavaRa.zip   

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)   

&#9654 Double-clique sur le répertoire JavaRa obtenu.   

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s''afficher)   

&#9654 Clique sur Remove Older Versions.   

&#9654 Clique sur Oui pour confirmer. L''outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.   

&#9654 Un rapport va s''ouvrir, copie-colle le dans ta prochaine réponse.   

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )   

&#9654 Tu peux fermer l''application    

&#9654 &#9654 Met à jour les logiciels Adobe :  

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/ 

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr 

----- 

&#9654 &#9654 pour supprimer les outils de désinfection : 

&#9654 Télécharge Delfix sur ton bureau :  

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message  
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.  

------  

Tu peux garder Malwarebytes pour un scan de temps à autres  

-----  

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web  
Et celui ci, sur les logiciels gratuits à éviter  

------  

Si tu utilise FireFox, vérifie que tes plug in sont à jour : https://support.mozilla.org/en-US/kb/npapi-plugins 

----- 

&#9654 &#9654 Pense à marquer le fil comme résolu   

------  

Si tu as d''autres questions, je t''écoute avec plaisir :) 
On se quitte si le rapport DelFix est ok... 

@+

Binome · Answer

Devant l'ampleur du message, j'ai décidé de réinstaller. Certes ça va prendre du temps mais je serai plus rassuré.
Merci pour ton aide et le temps passé.

Ralentissement sur une machine puissante

33 réponses

Discussions similaires