Ralentissement extrême Windows XP Pro SP3 Résolu/Fermé

Question

Bonjour à tous et plus particulièrement à ceux qui sauront m'aider.

Le titre dit tout.

Je pense que mon PC est infecté par un virus à partir des constats suivants :
   - ralentissement à l'ouverture d'une session -> de l'ordre de 20 à 30 minutes ;
   - D° à la fermeture (6 minutes environ) ;
   - longue attente à l'ouverture d'un dossier ou d'un fichier (entre 3 et 5 minutes.

A partir de ces constats, j'ai commencé à essayer de me dépanner seul :
   - utilisation de divers logiciels soit d'optimisation, soit de recherche de virus. Sans ordre d'utilisation ni classification ce fut : AdAware, SpyBot, Atoruns, Glary Utilities  (blocage sur la gestion des espaces disques), Tune Up Utlities 2012 en version d'essai (blocage de mon accès à Internet - donc désinstallé), CCleaner ... je dois en oublier. Tous les résultats obtenus montrent soit une certaine optimisation, soit qu'ils ne trouvent rien aux niveaux infection ou présence bizarre.

A la suite, j'ai cherché sur Internet. J'ai trouvé 2 articles intéressants :
   - le 1er (je ne sais plus sur quel forum) écrit par BOULE et mis à jour le 11.03.2011 traite de "Vérifier si DMA est actif- Mode PIO récalcitrant - Rien ne fonctionne !".
J'ai effectivement constaté que le mode DMA sur le canal IDE secondaire était systématiquement remis en mode PIO, alors que le canal IDE principal indique bien que le mode de transfert actif est Ultra DMA Mode 5 sur le périphérique 0. Donc mon PC, bien qu'ancien, accepte bien le mode DMA. Je n'ai pas suivi les conseils préconisés, à savoir -> 1) voir si le BIOS est bien configuré (je ne peux plus y accéder), 2) utiliser soit Crystal Disk Info, soit HDD Health, car je pense que mon disque dur est en bon état et qu'il n'a rien à y voir.

   - le 2e est écrit par JAWARYINTI sur le présent site.
Bien clair et explicite il préconise des actions à effectuer dans un ordre précis : 1) effectuer un diagnostique avec ZHPDiag à la place de Hijack This, 2) suppressions avec CClaener, 3) analyser avec Malwarebytes Anti-Malware (MBAM), 4) analyse avec Kapersky en ligne.
Des 4 actions proposées, les résultats ont été les suivants : 1) ZHPDiag -> le lien vers les résultats est indiqué ci-dessous, 2) CCleaner -> aucune info à transmettre, 3) MBAM -> résultats totalement négatifs, donc aucun résultat à transmettre, 4) Kapersky -> la page est en cours de modification et donc rendue inaccessible.

Je ne suis pas féru d'informatique et parfois bien ignorant, je fais partie de ce qu'on appelle  les papys (j'ai plus de 70 ans) mais aime à apprendre tout ce qui est nouveau.

Mon PC est un "transportable" ASUS M6NE de plus de 6 ans 1/2 ayant subi diverses avanies, mais il fonctionne (fonctionnait !) suffisamment bien pour ce que j'en fais, processeur Intel Pentium M à 2 Ghz, et une RAM de 2 Ghz.

J'utilise Windows XP Pro SP3 et Chrome avec Gmail.

Le lien pour le rapport de ZHPDiag est le suivant : http://www.cijoint.fr/cjlink.php?file=cj201110/cijSkddSqe.txt 

Par avance Merci de chaque contribution à mon souci.

NICOLAS 19

jacques.gache · Answer

bonjour, tu fais ce qui suit , et puis tu nous dira comment il va le pc !!

1) fais zhpfix comme expliqué

. Copie les lignes suivantes en GRAS  entre les deux lignes


__________________________________________________________

O2 - BHO: (no name) - AutorunsDisabled Clé orpheline 
OPT:O4 - HKLM\..\Run: [PRONoMgr.exe] . (.Intel Corporation - PRONotifyMgr Module.) -- c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
OPT:O4 - HKLM\..\Run: [SSBkgdUpdate] . (.Scansoft, Inc. - SSBkgdUpdate.) -- C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe
OPT:O4 - HKLM\..\Run: [SetDefPrt] . (.Brother Industories, Ltd. - BrStDvPt.) -- C:\Program Files\Brother\Brmfl04a\BrStDvPt.exe
OPT:O4 - HKLM\..\Run: [PaperPort PTD] . (.ScanSoft, Inc. - PaperPort Print to Desktop for NT.) -- C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
OPT:O4 - HKLM\..\Run: [IndexSearch] . (.ScanSoft, Inc. - PaperPort IndexSearch.) -- C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard Company - hpwuSchd.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Run: [ControlCenter2.0] . (.Brother Industries, Ltd. - ControlCenter2.0 Main Program.) -- C:\Program Files\Brother\ControlCenter2\brctrcen.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-3401834816-1109936652-2240336039-1004\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
[HKLM\Software\BrowserChoice]
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 
O42 - Logiciel: pdfforge Toolbar v4.1 - (.Spigot, Inc..) [HKLM] -- {B1BFDF6B-3C03-46fe-B5D7-BABB0063D8E0}   
 O43 - CFD: 06/08/2011 - 17:02:18 - [70578674] ----D- C:\Program Files\Spybot - Search & Destroy  
[HKCU\Software\AppDataLow\Software\Search Settings]     
[HKCU\Software\AppDataLow\Software\pdfforge]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{B1BFDF6B-3C03-46fe-B5D7-BABB0063D8E0}]       
SysRestore 
FirewallRAZ      
EmptyFlash
EmptyTemp
HostFix


___________________________________________________________________


. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau 
. Pour XP, double-clique sur ZHPFix 
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur. 
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 

 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

PS: si rien ne se colle clique sur l'icône en haut sur gauche celui juste à côté de l'appareil photos " coller le presse papier" 

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 



. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport



2) tu passes ad-remover mode nettoyage

Déactives ton anti-virus et anti-spyware le temps du scan 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Télécharge Ad-Remover sur ton bureau: (Merci à l'équipe TeamXscript) 

http://www.teamxscript.org/adremoverTelechargement.html



/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



( Le rapport est sauvegardé sous C:\Ad-report-clean.log ) 



3) afin d'être sur passes adw-cleaner mode suppression


Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


4) postes des nouvelles du pc et un nouveau zhpdiag, mais après mise à jour !!

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !! 

cliques sur la flèche verste "update" et installes et après tu fais 

Cliques sur la loupe pour lancer l'analyse. 

 si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire  un rapport plus complet et pouvoir en faire une lecture plus approfondis 

Laisses l'outil travailler, il peut être assez long 

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau. 


Fermes ZHPDiag en fin d'analyse. 


Pour me le transmettre clique sur ce lien : 

http://www.cijoint.fr/index.php  


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et  ZHPDiag.txt clique dessus 

Clique sur Ouvrir. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse. 


et si problème passe par celui ci :    https://www.cjoint.com/

NICOLAS19 · Answer

Bonsoir (compte tenu de l'heure) ;

Ce n'est que par curiosité que j'ai ouvert ma messagerie si tardivement.

Mes excuses les plus sincères d'adresser mes remerciements à jacques.gache pour avoir posté un éventuel remède si rapidement.

A nouveau mes excuses car je ne ferai les manipulations que demain ; le texte étant particulièrement long et touffu (pour moi).

Dès que j'ai terminé je fais le nécessaire pour le poster.

Déjà un Grand Merci.

NICOLAS19

NICOLAS19 · Answer

Bonjour ;

Ce n'a pas été sans mal que d'arriver à tout faire.

Pas mal de soucis dont le plus flagrant -> lors de la fermeture du PC, que ce soit pour démarrer ou arrêter, apparition d'une fenêtre indiquant que le programme "SAMPLE" n'arrive pas à se fermer, et ce 3 fois successivement. Pour moi, ce programme est inconnu (???).

De même, il arrive, suivant les re-démarrages, que mon lecteur-graveur apparaisse ou disparaisse de mon bureau, ou bien que l'icône se pare du point d'interrogation.

Bref, le liens pour les journaux demandés sont les suivants :

ZHPFix -> http://www.cijoint.fr/cjlink.php?file=cj201110/cijX0RCIVJ.txt 

Ad-Remover -> http://www.cijoint.fr/cjlink.php?file=cj201110/cij8N5Ch9i.txt

Adw-Cleaner -> http://www.cijoint.fr/cjlink.php?file=cj201110/cijK9sUZ8S.txt

ZHPDiag ? http://www.cijoint.fr/cjlink.php?file=cj201110/cijj20SfiL.txt

Je sais que ce n'est pas fini, alors je vous souhaite "bonne lecture".

Cordialement.

NICOLAS19

NICOLAS19 · Answer

Bonsoir ;

Impossible de télécharger Pre-scan, ni sur le lien, ni sur le site miroir.
Impossible également pour la version .pif.

Remarque : Norton m'indique la présence d'une menace et le détruit. Est-ce une cause à effet ?

NICOLAS19

NICOLAS19 · Answer

Désolé, mais

  - mon PC est assez erratique et bloque souvent ;
  - je n'ai pas l'habitude de me brancher sur Internet sans mon antivirus.

Après le scan de Pre-scan, le journal se trouve ici -> http://www.cijoint.fr/cjlink.php?file=cj201110/cijx33bKTy.txt

Merci quand même.

NICOLAS19

NICOLAS19 · Answer

Bonjour ;

Avant de passer aux manipulations avec ComboFix, je fais un état de la santé de mon PC :

     - une fois bien démarré, il a retrouvé une certaine ardeur, MAIS A UNE CERTAINE CONDITION -> ne pas aller trop vite dans l'utilisation des clics que ce soit en ouverture ou en fermeture des dossiers ou fichiers. Il est IMPÉRATIF que je regarde la lampe d'activité du disque. Or je constate la chose suivante -> à visualiser cet indicateur, j'ai l'impression qu'il n'arrête pas de s'arrêter et de redémarrer, pourtant en touchant la coque de mon PC je ne ressens aucune vibration, aussi faible soit-elle. Si je vais trop vite dans mes clics, il met un temps infini (?) à finaliser la commande que j'ai demandée, un peu comme si mes barrettes mémoires étaient à l'agonie. Un test m'a prouvé que ce n'était pas le cas.

     - au démarrage général, il n'a pas changé sa vitesse d'exécution et j'attends toujours aussi longtemps, entre 20 et 30 minutes. Je ne parle pas de ma patience lorsqu'il faut redémarrer.

Voila où j'en suis pour le moment. Ce n'est pas très brillant !!!

NICOLAS19



Aidez moi, le ciel ne m'aide pas !

NICOLAS19 · Answer

Bonsoir ;

Le journal de ComboFix se trouve ici -> http://www.cijoint.fr/cjlink.php?file=cj201110/cijr37vjKa.txt 

Merci.

NICILAS19

NICOLAS19 · Answer

Bonjour ;

Résultats sur le fonctionnement de mon PC après les passages successifs des logiciels préconisés :

     - ComboFix a remis tout en ordre comme antérieurement ;
     - Les changements constatés sont au niveau du temps d'ouverture des différents sessions :
   - 28 minutes pour voir apparaître le "Bienvenue" de Windows ;
   - ajouter 25 minutes pour présentation du bureau avec les icônes ;
   - ajouter 4 minutes pour accéder à la commande "Démarrer" ;
   - ajouter 11 minutes pour trouver un semblant de stabilisation, c'est-à-dire pouvoir ouvrir un fichier.

Total, pour commencer à travailler : 68 minutes !!! Super performances !

Pour accéder à ma messagerie, l'accès à Chrome a mis 6 minutes.

Ma patience et mon ardeur sont mises à rude épreuve ; quant à mon enthousiasme, il fond comme neige au soleil.

Comment fait-on maintenant étant donné que c'est pire qu'avant ?

Merci.

NICOLAS19

NICOLAS19 · Answer

Bonsoir ;

Le rapport de Pre_script est ci-dessous :


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.85 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mise à jour : 16/09/2011 | 13.40 Par g3n-h@ckm@n
Utilisateur : PANDA19 (Administrateurs)
Ordinateur : MINOU2
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 8.0.6001.18702
Mozilla Firefox : 

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command:: 
attrib:: | txt:: | Host:: | NsLook::
list:: | IP:: | ADS::

Script : 23:19:47

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Supprimé : C:\WINDOWS\AZZ3954CF.txt 
Supprimé : C:\Documents and Settings\All Users\Application Data\.zreglib 

¤

Fin : 23:19:50

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤


A vous lire.

NICOLAS19

NICOLAS19 · Answer

Bonjour ;

Constat de ce matin -> améliorations sensibles :

   - apparition du "bienvenue" de Windows -> 10 minutes ;
   - apparition du bureau avec les icônes -> 12 minutes ;
   - semblant de stabilisation (fin de chargement des programmes) -> 14 minutes.
Y ajouter le fait que l'ouverture d'un dossier ne se fait pas immédiatement et que je dois attendre encore de longues minutes (c'est pour cette raison que j'indique "semblant de stabilisation").

Donc, au total 36 minutes, ce qui n'est pas encore admissible.

Maintenant je souhaiterais avoir un peu plus d'explications.

En effet, après toutes les manipulations effectuées, de façon assez directive, je ne sais pas où j'en suis. Pour chaque journal transmis, aucun commentaire n'a été fait. Virus ? Pas virus ? Autre ? Effectivement pas de vains bavardages, mais .....

Même si je vous remercie grandement de votre implication et de celle de vos correspondants, outre le fait qu'il n'y a pas grand chose de changé dans le temps de démarrage de mon PC, la dernière manipulation fait ressortir des modifications dans le registre. D'autres seront elles nécessaires ?

Ce n'est pas une conclusion pour moi, mais dois-je comprendre qu'il s'agirait plutôt d'une mauvaise configuration matériels ? Auquel cas est-ce toujours le bon forum ?

Je ne mets pas vos compétences en doute, mais le manque d'information (feed-back) ne NOUS permet pas de cerner le VRAI problème.

Dans l'attente de votre réponse.

Cordialement.

NICOLAS19

NICOLAS19 · Answer

Bonsoir ;

Chance, j'étais derrière mon PC.

Rapport DelFix ci-dessous :


"# DelFix v8.5 - Rapport créé le 06/10/2011 à 20:46:56
# Mis à jour le 25/09/11 à 11h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : PANDA19 - MINOU2 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\PANDA19\Bureau\delfix0.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\FyK
Supprimé : C:\Kill'em
Supprimé : C:\ZHP
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Documents and Settings\PANDA19\Bureau\Ad-Remover.lnk
Supprimé : C:\Documents and Settings\PANDA19\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\PANDA19\Bureau\MBRCheck_10.01.11_15.41.02.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\SED.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1519 octets] - [06/10/2011 20:46:56]

########## EOF - C:\DelFix[S1].txt - [1643 octets] ##########"

J'attaque CCleaner.

A la suite ....

NICOLAS19

NICOLAS19 · Answer

Re Bonsoir ;

CCleaner n'arrive pas à détruire la clef suivante (3 essais successifs) :


Référence manquante de bibliothèques de types	IBackupLocationsShellFolderImpl - {00020424-0000-0000-C000-000000000046}	HKCR\Interface\{F0E3A5D7-80C7-4228-90FE-61DF01C417A5}


La suite ?

NICOLAS19

NICOLAS19 · Answer

Par regedit, je découvre en fait qu'il s'agit de 2 clefs.

La 1ere : {00020424-0000-0000-C000-000000000046} se situe à HKCR/CLSID/ et donne comme données "PSOAInterface".

La 2e : HKCR\Interface\{F0E3A5D7-80C7-4228-90FE-61DF01C417A5} est inexistante. Comme elle semble concerner Norton, je la garde.

Merci pour les conseils d'avoir le minimum sur son PC. Mais si j'ai Norton, c'est qu'à l'époque de mon 1er PC (1999) je me suis "lié" avec eux et comme je suis fidèle ...

Par contre j'ai un 2e PC protégé par Avast, MalwareBytes gratuit, CCleaner à la demande car trop compliqué pour ma petite compréhension, et Chrome.

Quant au PC dont je me sers actuellement, et qui est un "transportable" comme indiqué dans mon 1er message, il ne comporte que 21 démarrages, donc largement en dessous de l'image vue sur "ci-joint".

A priori je n'ai plus rien à supprimer.

Donc, si je comprends bien, vous ne me proposez plus rien d'efficace, et, sans le dire, mon problème ne semble pas pouvoir se résoudre sur le présent forum ?

Peut être pourriez vous m'indiquer un forum, soit ici, soit sur un autre site où je puisse trouver la réponse à mes soucis.

NICOLAS19

NICOLAS19 · Answer

Merci pour le temps passé et la mise à contribution de vos correspondants.

J'espère que vous aurez plus de satisfactions avec d'autres soucis moins problématiques.

NICILAS19

Ralentissement extrême Windows XP Pro SP3

14 réponses

Discussions similaires