Notebook Acer Aspire One bloqué par virus ...

Question

Bonjour, 
1.-
Il s'agit d'un Notebook Acer Aspire One model KAV60, Windows XP. Il était complétement bloqué.
Impossible démarrage. Un chkdsk programmé qui s'arretait dans la étape 3 sans pouvoir
continuer.
2.-
J'ai pu utiliser la Console de restauration, pour réaliser le chkdsk sans majeur problème et après d'effectuer la commande fixboot, j'ai pu entrer enfin sur windows XP.
3.-
Avec d'autres difficultés (lenteur de la machine) j'ai pu desinstaller Avast et installer ANTIVIR et MALWAREBYTE.
4.-
Et puis grand lenteur pour executer les analyses. J'ai réalisé un scanner rapide avec Malwarebyte sans rien trouvé.
Et puis j'ai lancé en "mode sans echec avec reseau", ANTIVIR, pendant tout la nuit et je me suis décidé juste plus tard pour lancer un examen complète avec MALWAREBYTE en parallele, croyant que 10 ou 12 heures au maximum
suffirait.
5.-
Mais après de 10 heures d'ANTIVIR il avait exécuté seulement un 20% de sa tache.
Et Malwarebyte après de 6 heures, il était loin aussi de finir.
6.-
J'ai décidé de tout arreter et essayer un analyse antivirus en lignes. Toujours avec une machine qui traine. Un scanner "mc coffe" n a rien donné.
7.-
Maintenant je suis en train de tester avec ESET ONLINE SCANNER et au bout de 1h30 nous avons le 60% de l'analyse .... et rien a été trouvé par le moment.
8.-
POUR ALLER PLUS VITE ... je fais un rapport HIJACKTHIS et je voudrais demander de l'aide AUX SPECIALISTES DE HIJACKTHIS pour localiser le bestiol qui cree tous ces problemes. MERCI D AVANCE POUR UNE REPONSE ET CORDIALEMENT

Voici ce rapport
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:36, on 13/11/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Acer\Acer VCM\AcerVCM.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Acer\Acer VCM\RS_Service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Lydia\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Lydia\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Lydia\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Lydia\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\wuauclt.exe
E:\securite2012\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=0&o=xph&d=1011&m=aspire_one
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\Audio\Drivers\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ProductReg] "C:\Program Files\Acer\WR_PopUp\ProductReg.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Lydia\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Acer VCM.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Acer\Acer VCM\Skype4COM.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Program Files\Acer\Acer VCM\RS_Service.exe

jjjjulious · Answer

Bonsoir,
Aucun spécialiste HIJACKTHIS, pour donner des pistes de solution?

Le notebook qui traine et traine. J'ai desinstaller avast pour installer antivir et puis croyant qu'il y avait des élements d' AVAST encore sur la machine qui empêchait de travailler. J'ai desinstallé antivir pour reinstaller avast afin de pouvoir le desinstaller proprement et puis j'ai installé à nouveau antivir pour lancer un scanner que s'éternise (Certes plus rapide que le précedent) car maintenant je fais le 20% en 2 heures ... mais je n'ai aucune garantie de pouvoir finir correctement cet analyse

UN AIDE SVP!!

Lyonnais92 · Answer

Bonjour,

HJT n'examine plus assez d'emplacements.

==

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur http://pjjoint.malekal.com/ (il est dans C:\ZHP)

 
Suis les instructions pour déposer le fichier.

Donne moi le lien qui t'a été fourni.

jjjjulious · Answer

Bonjour,
Grand merci pour la réponse.
ZHPDiag, je connais déjà.
Mais cette fois impossible de faire l'analyse que s'arrete au bout d'un 44% et systematiquement.
MSG ZHPDiag Exception externe C0000006

Et puis j'ai desinstallé et téléchargé à nouveau ZHPDiag (d'abord du site Zebulon et puis du site Comment çà marche) et exactement le même resultat.

Là je ne sais comment faire ...
Entre hier et aujourd'hui j'ai pu réaliser un examen complete avec MALWAREBYTE qui a dure 3 heures et demi, et par contre il est encore impossible de réaliser un examen intégral avec ANTIVIR, il s arrête vers la moitié aussi.

Donc : presence d'un bestiole coriace et tenace.

ah pendant le travail de malwarebyte, antivir avait intervenu pour annoncer
l'apparition de TR fake AV j ai activer le bouton pour le supprimer.

Alors est ce que ce serait une bonne idée remplacer ZHPDIAG par un RSIT,?

MERCI D AVANCE POUR UNE REPONSE ET CORDIALEMENT

Lyonnais92 · Answer

Re,

relance ZHPDiag, clique sur le tournevis.

Décoche la case devant les lignes O43 et O44.

Clique sur la loupe.

Poste le lien du rapport si ZHPDiag va au bout.

Pour MBAM, fais un scan rapide (après mise à jour) et poste le rapport (pas besoin de lien)

jjjjulious · Answer

Pour le rapport RSIT, et j'espère qu'il puisse nous servir il se trouve sur ce lien:
https://pjjoint.malekal.com/files.php?id=w9e13l5x5z7b6i6b11v7n11o6o15g7n8c12r6o5o5h8f13

MERCI POUR UNE SUITE FAVORABLE

Lyonnais92 · Answer

Re,

le rapport RSIT ne montre rien.

jjjjulious · Answer

Rebonjour,
1.- Ok j'ai re-exécuté ZHPDiag suivant tes indications. Et voici le lien de ce rapport
     https://pjjoint.malekal.com/files.php?id=ZHPDiag_y10m12q10j9l13j5z12d11k6q14j10h15x5f8o12c11w12k13q5d10

2.-
Comment j'avais déjà exécuté une analyse complète avec MALWAREBYTE ...
Voici ce rapport ....
MERCI ENCORE POUR TON AIDE

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8161

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15/11/2011 11:09:30
mbam-log-2011-11-15 (11-09-30).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 213808
Temps écoulé: 3 heure(s), 25 minute(s), 48 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Lyonnais92 · Answer

Re,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

[HKCU\Software\PopCap]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
EmptyTemp

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Relance ZHPDiag, clique sur le tournevis puis sur Aucun.

Coche les cases devant les lignes O43, O44 et O621

Clique sur la loupe pour lancer l'analyse.

Si ça coince, décoche O43.

Si ça coince encore, recoiche O43 et décoche O44.

Poste le rapport.

Pas besoin de lien avec ces options.

jjjjulious · Answer

Ok J'ai bien réalisé la première partie (Il m'a juste suffit de cliquer sur H pour avoir les 3 lignes sur la fenêtres).

Mais je suppose que quand tu dis :

Coche les cases devant les lignes O43, O44 et O621

Tu as voulu juste dire
Coche les cases devant les lignes O43, O44 et O62

Bref 062 et non pas 0621, n'est pas?
J'attends ta réponse pour faire l'opération tout de suite STP.

a+

Lyonnais92 · Answer

Re,

oui, O62 (les ADS)

jjjjulious · Answer

Merci encore et j'attends pour la suite ... à moins que tu sois en train de partir
a+

Lyonnais92 · Answer

Re,

la suite, c'est le rapport de ZHPFix et un rapport de ZHPDiag avec les 3 options cochées (si possible).

jjjjulious · Answer

Je recommence. Je crois qu'à deux reprise mon COPIER COLLER n'a pas marché Probablement il était quand même un peu long.
Donc voici la première partie.

1.-

Après de coup et assez tard j'ai simplement oublié la dernière ligne :
emptytemp
EST CE QUE CELA PEUT ETRE GRAVE (ou il s'agit d'un nettoyage manquante simplement)?


Voici le rapport après de nettoyage

Rapport de ZHPFix 1.12.3368 par Nicolas Coolman, Update du 12/11/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-15-11-2011-23-25-48.txt
Run by Lydia at 15/11/2011 23:25:48
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\PopCap
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}


========== Récapitulatif ==========
3 : Clé(s) du Registre


End of clean in 00mn 02s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 15/11/2011 23:25:48 [712]


2.-
coché 043 - 044 - 062 n a pas marche (exception externe C0000006)
Decoche 043 et coche 044 et 062  meme probleme
et puis
Coché 043 et 062 là c'est bien marché et maintenant le rapport ce trouve sur
ce lien
https://pjjoint.malekal.com/files.php?id=i12v5l14s10i11j8i6j9c10c5n8z14t8y6k512q6s13f11t12

VOILA J ESPERE QUE CETTE FOIS CI TOUT SERA OK

jjjjulious · Answer

j espère pour la suite SVP!!

jjjjulious · Answer

Re-bonjour,
1.-
A la suite du nettoyage, j'ai voulu réaliser l'analyse intégrale avec ANTIVIR, que je n'avais pas encore réussi. Et je fais autant sur mon pc en parallèle, pour comparer sur les temps.
Sur le PC assez rempli l'opération a pris 3 heures
Sur le Notebook il s'arreté vers le 44%

2.-
J'ai voulu alors essayer un antivirus en ligne et je suis tombé sur PANDA, qui m'a
obligé à desinstaller antivir (tant pis je pourrai le reinstaller plus tard, je me suis dit) et au bout de compte PANDA n'a pas réussi à bien s'installer.
J'ai eu d'abord droit à un message :
Windows n'a pas pu démarrer car le fichier suivant est manquant ou endommagé : Windows\System32\Hal.dll
Et pourtant le pc a pu quand même démarrer. Panda que voulait continuer son
installation.

3.-
Mais un nouvelle échec dans l'installation de Panda. 
J'ai voulu re-installer antivir .... problème : lenteur insupportable.
Et puis j'ai mis à jour Malwarebyte pour lancer un analyse rapide ... celui travaille
normalement et puis soudain un ecran bleu
KERNEL_DATA_IMPAGE_ERROR
Stop : OxOOOOOO7A (0xC03D... je n'ai pas réussi à annoter la suite ah sauf
UN VIDAGE DE MEMOIRE

4.-
Quand la machine a démarré (tout seule) un message :
No bootable device - insert boot disk and press any key

5.-
JE SUIS VRAIMENT DANS LA M...
Merci pour la patience et pour votre aide.

Lyonnais92 · Answer

Bonjour,

relance ZHPFix avec

EmptyTemp
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Favoris Bluetooth.lnk - Clé orpheline

C'est toi qui a autorisé l'assistance à distance ?

Toujours aussi lent ?

- au démarrage

- dans la navigation

- sur tous les programmes

jjjjulious · Answer

Bon.
1.-
J'ai pu récupérer le système après les problèmes recents.
Impossible de re-installer ANTIVIR comme si un bestiol était en train d'empêcher
tout ce qui concerne la sécurité. Lenteur infini. Pour le reste la machine semble marcher ok.

2.-
Je viens de faire ce que tu recommende
ah Je n ai rien fait pour autoriser une assistance à distance!
Voici le rapport

Rapport de ZHPFix 1.12.3368 par Nicolas Coolman, Update du 12/11/2011
Fichier d'export Registre : 
Run by Lydia at 16/11/2011 15:10:15
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 146

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 1345

========== Autre ==========
NON TRAITE 04 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Favoris Bluetooth.lnk - Clé orpheline


========== Récapitulatif ==========
1 : Dossier(s)
1 : Fichier(s)
1 : Autre


End of clean in 00mn 12s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 15/11/2011 23:25:48 [763]
C:\ZHP\ZHPFix[R2].txt - 16/11/2011 15:10:15 [787]

3.-
Je me demande s il ne faut pas faire un nouveau ZHPDiag?

J attends pour la suite merci encore

Lyonnais92 · Answer

Re,

relance ZHPFix avec 


O4 - Global Startup: C:\Documents And Settings\Lydia\Menu Démarrer\Programmes\Assistance à distance.lnk . (.Microsoft Corporation.)  -- C:\WINDOWS\system32\rcimlby.exe

Relance un scan chkdsk /f

Relance ZHPDiag, clique sur la flèche verte.

Télécharge et installe la nouvelle version.

Relance ZHPDiag et poste le rapport.

Si ça bloque à 44%, décoche (par le tournevis) la case devant la ligne O44.

jjjjulious · Answer

Bonsoir,
1.-
J'ai eu à la suite du chkdsk après du démarrage, un nouveau écran bleu.

2.-
Rapport de ZHPFix après de nettoyage

Rapport de ZHPFix 1.12.3368 par Nicolas Coolman, Update du 12/11/2011
Fichier d'export Registre : 
Run by Lydia at 16/11/2011 19:50:04
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Fichier(s) ==========
SUPPRIME File: c:\documents and settings\lydia\menu démarrer\programmes\assistance à distance.lnk
SUPPRIME File: c:\windows\system32\rcimlby.exe


========== Récapitulatif ==========
2 : Fichier(s)


End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 16/11/2011 23:25:48 [763]
C:\ZHP\ZHPFix[R2].txt - 16/11/2011 15:10:15 [838]
C:\ZHP\ZHPFix[R3].txt - 16/11/2011 19:50:04 [684]

3.-
Et  le rapport de ZHPDiag après de sa mise à jour.
Dans ce lien :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_m5v10k11i7z6r9j13u8v8b11b6r11b14m13z8o13d6t13r14r13

4.- Et je suis encore sans Antivirus et j'envoie ceci en mode sans échec avec réseaux (après des dernièrs problèmes)

UN GRAND MERCI POUR L AIDE ET LA PATIENCE

Lyonnais92 · Answer

Re,

l'ordi ne démarre plus en mode normal ?

Tu n'as pas noté les paramètres de l'écran bleu ?

Installe Microsoft Security Essentials (l'antivirus de Microsoft).

jjjjulious · Answer

Après de t'envoyer les rapports, je me suis décidé à installer pas ANTIVIR, mais
AVAST qui était là initialement. Pas de problème pour re-installer celui-là.

Et je viens de lancer juste un examen minucieux avec ... avec ce lenteur ce sera
pour tout la nuit (1heure pour faire un 5%!!).

Je vais voir demain les résultats sinon prendrai en compte ta proposition d'installer Microsoft Security Essentials (que je profiterai de connaitre!)

Le dernier écran bleu un  Stop 0x000000F4
(0x00000003, 0x86291020, 0x86291194, 0x8060577E)
Debut vidage de la mémoire physique

Sur Internet : il peut s'agir d'un problème matériel ou d'un pilote défectueux ...
Le disque dur?

J'ai entré en mode sans échec avec réseau et je continue à travailler là, pour le moment.

Rien de nouveau sur les derniers rapports?

MERCI ENCORE ET A +

Lyonnais92 · Answer

Bonjour,

visiblement, l'écran bleu ça peut être tout et n'importe quoi (la carte mère, le DD, les câbles, ...).

Ca m'amène à demander si le blocage initial était bien du à un virus.

Tu sais lequel c'était ?

===

Actuellement Avast gratuit est une meilleure protection qu'Antivir gratuit.

Inutile de "tester" MSE.

===

Je suppose que la lenteur n'est pas du à la saturation du processeur ni de la mémoire (le gestionnaire des tâches montre que le taux d'occupation de la CPU est inférieur à 100% ainsi que la mémoire) ?

===

A la fin du scan de Avast, fais une analyse du disque dur (secteur défectueux, ...).

Ca aussi ça risque d'être long.


===

Il me semble que chkdsk pose problème, sauf quand tu le lances en console.

Si tu confirmes, essaie de le lancer une nouvelle fois à partir de la console.

jjjjulious · Answer

Bonjour,
1.-
6 heures d'Avast et rien trouvé!
Par contre est à peine incroyable la quantité de fichiers qui n' pas pu contrôler 
parce que verrouillage ou autre.
Bon enfin.
Après j'ai du faire mille choses pour tout activer.

2.-
Un moment j'ai eu de problèmes avec un pare-feu désactivé. Impossible demarrer le
service de pare-feu et de partage internet. Et puis quand j'ai voulu me renseigner
sur Internet pour règler ce problème, je revient sur le centre de sécurité et le pare-feu
était enfin activé. Probablement Avast faissait ses derniers ajustements.

3.-
Question lenteur : le chaud et le froid. Certains tâches puisssent se réaliser sans majeur
problèmes, d'autres trainent. 
J'ai télécharger Everest ... mais je n'ai pas trouvé d'information sur périphérique qui pouvait
donner des problèmes. Quoique j'ai vu tout cela superficielement.

4.- 
Quand j'ai été en train de chercher sur Outils d'administration/Services pour activer le pare-feu
j'ai eu droit un nouveau écran bleu, trop rapide et sans conséquences majeures.

5.-
J'ai voulu accéder via Accessoires/Outils Système/Restauration du système ... je me suis trouvé sur
un fenêtre blanche!! Explication ??
Impossible donc de faire un point de restauration.

6.-
Donc le système on dirait qui est assez inestable.

7.-
Je viens de télécharger et reinstaller CRYTAL DISK INFO pour voir l'état du disque dur
Resume : Prudence temperature 33% et une seule ligne sous observation :
C5 Nombre des secteur "instables" actuel = 100 Maxi = 100 Seuil = 0
Est ce que cela suffit pour penser à changer un disque dur ?
Combien peut couter un disque 1.8" pour ce notebook acer aspire one?

8.- 
Maintenant il faut savoir qui donnent le derniers rapport de ZHPDiag ?
J'attends pour la suite

9.-
Jusqu'à ici la réponse que j'avais préparé sans avoir lu ta réponse.

10.-
Donc je répond :
a) ah le blocage initiale visiblement était bien un virus (et en tout et pour tout je n'ai trouvé qu'un
seul TR FAKE AV qui parmis ses effets agit sur le logiciels touchan la sécurité)
Le problème de départ était que SKYPE donnait un problème ABOUT BLANK
A propos, j'ai voulu ressayer mais j'ai lasse tomber cela prend un temps enorme.
Je vais traiter de faire un test plus tard.

b) Oui en effet Avast a démandé beaucoup de temps (et il semble un bon produit, malgré tout)
pour le changer pour l'autre 

c) Je ne sais pas si la saturation vient du cpu ou de la mémoire. Quand j'utilise le gestionnaire 
de tâches je vois cpu 5% charge autour de 300  Mo

d) pour faire le chkdsk que tu avais proposé la dernière fois j'ai utilisé Executer/cmd/chkdsk /f
et puis celui ci a été programmé pour le démarrage de la machine.
Je vais maintenant faire un en utilisant système/Outils/Vérifier maintenant (pour le programmer au
démarrage)

Je vais essayer çà pour le moment et après je vais utiliser la console de récupération (sauf que la
dernière fois j'ai eu de problèmes pour accéder à ...)

Je te tendrai au courant.

MERCI ENCORE POUR TON AIDE ET TA DISPONIBILITE

jjjjulious · Answer

Ok, c'est bien parti pour un CHKDSK PLUS EFFICACE ....
une quantité industriel de clusters est remplacé .... esperons que tout cela
fini pour règler les problèmes principaux (les?)

Ah justement au départ les problèmes était dans un coté : virus empêchant
le fonctionnement correcte de Skype (à suivre...) et d'autre part un chkdsk qui ne
pouvait pas finir (il s'arreté pratiquement après de réaliser la troisième étape sur 5 en total)

Je te tendrai au courant de la suite Merci encore.

Lyonnais92 · Answer

Re,

Windows était préinstallé ? ou tu as un CD microsoft ?

jjjjulious · Answer

1.-
Je suis parti pour faire autre choses, pendant l'exécution du chkdsk ... avec tous ces remplacement de clusters abimé.

2.-
Au retour, j'ai trouvé l'ordinateur éteint.
J'ai eu milles problèmes pour démarrer le notebook.

Par exemple un message :
Le systemèr n'a pas pu démarrer à la configuration précédente.

Option : Effacer données restauration et revenir un menu système.

Par exemple un message : 
Windows n'a pas pu démarrer en raison d'une erreur de logiciel.
Le programme de chargement a eu besoin de DLL pour le noyau

Par exemple :
Fichier manquant ou endommagé : system32/DRIVERS/isapnp.sys

Finalement je suis passé pour une option : acer system
(Un backup ACER du notebook)

3.-
 Moi que j'avais chiffré tous les espoirs sur ce chkdsk.!!
Quand j'ai entré sur windows.
Je me suis trouvé avec le problème de parefeu et son service impossible
à démarrer, déjà expliqué.
Je suis intervenu, pour reactiver à la main AVAST et quand tout cela s'est
bien passé ... il m'apparu un nouveau ECRAN BLEU

DRIVER_IRQL_NOT_LESS_OR_EQUAL
Stop : 0x000000D1 (0x0A330040, 0x00000002, 0x00000000, 0xF74C4AF2)
atapi.sys - adress F74C4AF2 base at F74BF000, Datestamp 4802539D
Debut du vidage de la mémoire physique.
Vidage de la mémoire physique terminé.

Sur le forum CCM j'ai trouvé ceci :
"DRIVER IRQL NOT LESS OR EQUAL 
C'est l'une des erreurs les plus communes. Elle se produit généralement lorsqu'un pilote tente d'accéder à une adresse mémoire incorrecte. Vérifiez les pilotes non-signés, et soyez particulièrement méfiants à l'égard des programmes antivirus récemment installés ou mis à jour, des utilitaires de disque et des programmes de sauvegarde qui peuvent installer un pilote de filtrage du système de fichiers fautif.
 https://support.microsoft.com/en-us/help/310527 "

Consolide l'idée de qu'au depart ou plus tard un logiciel ou un virus a affecté les logiciels qui concerne la sécurité : cela pourrait expliquer pourquoi été impossible d'executer l'analyse intégral d'ANTIVIR ou pour installer d'autres, comme celui de PANDA!!

4.-
Le WXP est pré-installé et la vérité c'est que je ne trouve pas un wxp de pc portable que j'avais.
Et qu'au départ et seulement avec beaucoup de chance j'ai pu utiliser un wxp professionnel que j'avais ailleurs.
Mais cela ne marche pas dans tous les contextes, pour essayer de faire UNE
RESTAURATION (option R).

5.-
Voilà windows a démarré à nouveau mais ... est ce que cela va durer?
Mais le problème est déterminer :
a) si c'est bien un disque dur à changer (C'est quoi ton avis en fonction de ce
que je disais sur le test Crystal Disk Info)
b) ou si c'est bien un bestiol b1.- qui a été déjà supprimé mais qu'il manque corriger les effets sur la machine (parmi les 3 malware que tu m'a aidé a supprimer ou du virus TR FAKE AV qu'Antivir a supprimé
ou bien b2.- d'un bestiol qui nous manque trouvé et supprimer.

(Qu'est ce que passe à la suite du dernier ZHPDiag ?)

MERCI POUR TON AIDE ET TA PATIENCE.

Lyonnais92 · Answer

Re,

pour Crystal Disk Info, je ne connaissais pas.

J'ai trouvé un topic qui semble fiable :

https://forum.pcastuces.com/crystaldiskinfo-f1s174418.htm

Sa conclusion :

"Pour lancer une analyse c'est tout simple: il faut lancer CrystalDiskInfo et regarder ce qui s'affiche. S'il y a un point jaune, orange ou rouge au début d'une des lignes dans le tableau qui est affiché. Si tout est parfait, il faut que tout les points soient bleus sans message d'alerte."

Donc si tous les points sont bleus, l'outil ne dit rien d'alarmant.


===

Par contre, les clusters endommagés, ça me gêne.

===

Tu as une sauvegarde de tes données ?

===

Je vais essayer de contacter un spécialiste de matériel pour avoir son avis.

jjjjulious · Answer

1.-
Merci pour l'article concernant Crytal Disk Info. Je ne sais si se justifie de faire un
test avec l'autre logiciel.
Afin de compte, dans notre cas, il faut retenir PRUDENCE (à vigiler à suivre)
la seule ligne en question c5 secteur instables ... est en JAUNE, c.a.d. il n'est même ORANGE que serait plus inquietant.
Donc les problèmes ne vient pas d'un disque dur abimé.

Il vient plutôt, des dêgats sur le système provoqué surement par un des bestiols
supprimés. 
Parce que je suis en train de lancer un nouveau analyse complete avec Malwarbyte et il me semble qu'il ne trouvera rien (çà fait 3h35 minutes et pour le moment au moins n'a rien trouvé).
C'est difficile imaginer qui reste quelque chose à supprimer, tu m'aurais dit en fonction du dernier ZHPDiag réalisé non?

2.-
Par contre je me trouve maintenant avec AVAST DESACTIVE et ce que je fait pour l'activer n'a pas donné de résultats. 

3.-
Les solutions qui restent à essayer :
a) une restauration (option R avec le CD de windows xp)
ou 
b) une re-installation du système.

MERCI POUR TES PROPOSITIONS POUR OBTENIR UN AVIS AUPRES D AUTRES SPECIALISTES.
a+

Lyonnais92 · Answer

Bonjour,

tu as une sauvegarde de tes données persos sur un autre support que le DD ?

===

Refais tourner ZHPDiag que je vois pour Avast.

On va en profiter pour faire comme ça :

Tu cliques sur la flèche verte.

Tu télécharges et tu installes la dernière version.

Tu relances ZHPDiag.

Tu cliques sur le tournevis et tu cliques sur Tous.

Tu lances l'analyse en cliquant sur la loupe.

Tu postes le rapport dans un lien pjjoint.

jjjjulious · Answer

Bonjour,

Non, pas de sauvegarde ailleurs du disque dur (backup acer).

Voilà pour le nouveau rapport
https://pjjoint.malekal.com/files.php?id=ZHPDiag_t687r9h6y7g5w5p11j6q12b10q7m8m11c13u14t7f12b7

Sinon  ...  UN PERIPHERIQUE USB INCONNU pourrait expliquer certains problèmes.

La manipulation : arreter l'ordinateur - debrancher - enfoncer le bouton d alimentation 15 secondes - brancher et redémarrer ... ne donne pas des resultats.

J attends alors pour la suite ...
MERCI ENCORE

Lyonnais92 · Answer

Bonjour,

le rapport ZHPDiag ne montre rien d'infectieux.

===

Avast semble actif.

Si tu n'as pas l'icône dans la Barre des tâches, tu dois l'avoir dans la liste des programmes en cliquant sur démarrer.

Double clique dessus et vérifie les services actifs.

===

Le spécialiste que j'ai consulté (merci à lui) est aussi hésitant que moi à conclure à un problème matériel ou à une configuration "abimée" par le malware et les manips successives.

===

C'est quoi le mécanisme de "réparation/restauration" de Windows dont tu disposes ?

Tu me confirmes que tu n'as pas de lecteur CD sur le Notebook ?

Il faudrait que tu puisses sauvegarder tes données personnelles (documents Word, Excel, photos, vidéos, ...) sur un DD USB externe.

===

Pourquoi tu parles d'un périphérique USB inconnu ?

Ca pourrait être quoi (ta souris, un adaptateur TV, une carte d'appareil photo numérique, un téléphone portable, ...) ?

jjjjulious · Answer

1.-
J'ai fini pour désinstaller AVAST ... trop de problèmes. Avec le logiciel qui permet 
une correcte désinstallation pour éviter qui restent de "traces" qui puisse créer de problèmes au nouveau Antivirus.

2.-
Et puis après de multiples problèmes, logiciel qui ne réponds plus, des écrans bleu (UNMOUNTABLE_BOOT_VOLUME), je crois que je suis en train de réussir à installer PCTOOLS ANTIVIRUS gratuit, recommandé pour quelqu'un.

3.-
Mais ... RESUME PRODUIT DE MERDE!!
Malgré qu'il semble bien fourni des multiples fonctionnalités ... la version gratuit
devient un cauchemar.
PCTOOLS est destiné aux personnes qui ont du temps à perdre!!
Explication : vous voulez activer ceci ... il faut passer à la version payant ou activer cela ... la même chose.
J'ai voulu faire un premier scanner : vous devez mettre à jour la base de donnée
avec smart update (mais qu'est ce qu'il y a de SMART, vous allez le comprendre
tout de suite). 

Ok vous cliquez sur le bouton smart update, le téléchargement, semble se réaliser, à la fin un message pour indiqué que la mise à jour à été réalisé, vous cliquez sur le bouton terminer. Et puis vous venez à nouveau pour faire le SCANNER et vous avez à nouveau le msg : "vous devez mettre à jour la base de données ..." Et pourtant j'avais bien vérifier que dans les paramètres l'action défini pour smart update était bien de faire le téléchargement et installation de la base de données.

Vous continuez donc à chercher, alors vous cliquez sur la barre de tâche à coté de l'horloge, sur l'icône de PCTOOLS, vous tombez sur une fenêtre que vous annonce "Mise à jour requises" avec 2 boutons SMART UPDATE et ANNULER.
Vous cliquez sur le bouton SMART UPDATE, téléchargement - et mise à jour terminé et en bas le bouton terminer. Vous espérez alors d'entrer à l'accueil de PCTOOLS pour faire votre SCANNER .... mais non ... vous revenez à la fenêtre MISE A JOUR REQUISES et si vous amuses vous pouvez boucler TOUTE LA NUIT.
Bravo A NE PAS RECOMMANDER A PERSONNE!!

4.- 
Donc je me prépare à désinstaller cette merde.

Je te tendrai au courant, pour demain je crois qu'il ne me reste que la réinstallation de Windows.
Ah une chose le notebook n'a pas de lecteur CD (aucun notebook a de lecteur  CD, au moins que je sache!!) Je connecte un lecteur CD externe via un câble USB.
Je parle de PERIPHERIQUE USB inconnu, parce que un message s'affiche sur la barre de tâche que l'indique et parce qu'il peut expliquer un des multiples écrans bleu.
MERCI ET A PLUS

Lyonnais92 · Answer

Salut,

visiblement, tu n'as rien appris de l'épisode RSIT/ZHPDiag.

Je ne préconise jamais PCTools.

===

Oui, on s'oriente vers une "réinstallation" de Windows.

Je pense que le système a trop de dysfonctionnements.

La question est de le faire en toute sureté.

===

Donc sauvegardes des données personnelles sur un autre support.


===

Le manuel donne le mode d'emploi de la partition de restauration ?

jjjjulious · Answer

Bonsoir,
1.-
Qu'est ce que tu as voulu dire quand tu dis :
"visiblement, tu n'as rien appris de l'épisode RSIT/ZHPDiag." ?
En ce qui me concerne je ne regrette rien, de ce qu'on a fait.
L'occasion m'a permis entre autres utiliser pour deuxieme fois ZHPDiag
que je trouve genial quand à la fin tous les problèmes sont résolus.
Et je ne peux pas arriver à une autre conclusion que les degats sur le
systèmes et non pas les infections encore à découvrir le principale problème
maintenant à resoudre.
Je trouve ZHPDiag largement supérieur à Hijackthis, et sa conception me
semble assez sympa par exemple utiliser le tournevis pour representer le
parametrage et d'autres petits truc.

2.-
Oui, je vais essayer de faire une sauvegarde des données perso ... ce n est
pas enorme, non plus.

3.-
Tu as raison de parler sur un manuel acer aspire one pour mieux comprendre tous les options de restauration du système. Il doit exister sur Internet.
Je vais me donner la tâche de chercher plus tard.

MERCI ENCORE ET A BIENTOT

Notebook Acer Aspire One bloqué par virus ...

34 réponses

Votre réponse

Discussions similaires

Newsletters