Blue Screen Minidump que faire? Résolu/Fermé

Question

Bonjour à tous,  
Voici mon problème, depuis un moment mon ordinateur fais des crashs (blue screen) assez régulièrement. J'ai pas mal cherché sur internet des solutions à mon problème, j'ai un peux avancé en ouvrant les fichiers Minidump avec "whocrashed" mais pour na pas vous mentir je ne sais pas trop quoi faire avec ces rapports. Si je comprend bien il y aurait plusieurs problèmes.  

Voici les différents rapports que j'ai :  
Rapport_01 : 
Crash dump file:        C:\Windows\Minidump\032912-24523-01.dmp  
Date/time:              28/03/2012 23:57:50 GMT  
Uptime:                 11:36:34  
Machine:                  
Bug check name:         SYSTEM_SERVICE_EXCEPTION  
Bug check code:         0x3B  
Bug check parm 1:       0xC000001D  
Bug check parm 2:       0xFFFFF8800140773F  
Bug check parm 3:       0xFFFFF8800AA053B0  
Bug check parm 4:       0x0  
Probably caused by:     tdx.sys  
Driver description:     TDI Translation Driver  
Driver product:         Microsoft® Windows® Operating System  
Driver company:         Microsoft Corporation  
OS build:               Built by: 7601.17727.amd64fre.win7sp1_gdr.111118-2330  
Architecture:           x64 (64 bit)  
CPU count:              4  
Page size:              4096  

Bug check description:  
This indicates that an exception happened while executing a routine that transitions from non-privileged code to privileged code.   

Comments:  
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.   
The crash took place in a standard Microsoft module. Your system configuration may be incorrect. Possibly this problem is caused by another driver on your system which cannot be identified at this time.   



Rapport_02 : 
Crash dump file:        C:\Windows\Minidump\033012-31262-01.dmp  
Date/time:              30/03/2012 20:54:48 GMT  
Uptime:                 08:03:41  
Machine:                  
Bug check name:         DRIVER_IRQL_NOT_LESS_OR_EQUAL  
Bug check code:         0xD1  
Bug check parm 1:       0x2  
Bug check parm 2:       0x2  
Bug check parm 3:       0x0  
Bug check parm 4:       0xFFFFF88006CC0F0C  
Probably caused by:     ntoskrnl.exe  
Driver description:     NT Kernel & System  
Driver product:         Microsoft® Windows® Operating System  
Driver company:         Microsoft Corporation  
OS build:               Built by: 7601.17727.amd64fre.win7sp1_gdr.111118-2330  
Architecture:           x64 (64 bit)  
CPU count:              4  
Page size:              4096  

Bug check description:  
This indicates that a kernel-mode driver attempted to access pageable memory at a process IRQL that was too high.  

Comments:  
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.   
The crash took place in the Windows kernel. Possibly this problem is caused by another driver which cannot be identified at this time.   



Rapport_03 : 
Crash dump file:        C:\Windows\Minidump\033112-25927-01.dmp  
Date/time:              31/03/2012 21:23:33 GMT  
Uptime:                 06:05:36  
Machine:                  
Bug check name:         NTFS_FILE_SYSTEM  
Bug check code:         0x24  
Bug check parm 1:       0xC08A5  
Bug check parm 2:       0x0  
Bug check parm 3:       0x0  
Bug check parm 4:       0x0  
Probably caused by:     ntfs.sys  
Driver description:     Pilote du système de fichiers NT  
Driver product:         Système d'exploitation Microsoft® Windows®  
Driver company:         Microsoft Corporation  
OS build:               Built by: 7601.17727.amd64fre.win7sp1_gdr.111118-2330  
Architecture:           x64 (64 bit)  
CPU count:              4  
Page size:              4096  

Bug check description:  
This indicates a problem occurred in the NTFS file system.   

Comments:  

The crash took place in a standard Microsoft module. Your system configuration may be incorrect. Possibly this problem is caused by another driver on your system which cannot be identified at this time.   



Rapport_04 : 
Crash dump file:        C:\Windows\Minidump\040312-29078-01.dmp  
Date/time:              03/04/2012 19:11:26 GMT  
Uptime:                 07:43:27  
Machine:                  
Bug check name:         MEMORY_MANAGEMENT  
Bug check code:         0x1A  
Bug check parm 1:       0x41287  
Bug check parm 2:       0x30  
Bug check parm 3:       0x0  
Bug check parm 4:       0x0  
Probably caused by:     ntoskrnl.exe  
Driver description:     NT Kernel & System  
Driver product:         Microsoft® Windows® Operating System  
Driver company:         Microsoft Corporation  
OS build:               Built by: 7601.17727.amd64fre.win7sp1_gdr.111118-2330  
Architecture:           x64 (64 bit)  
CPU count:              4  
Page size:              4096  

Bug check description:  
This indicates that a severe memory management error occurred.  

Comments:  
This might be a case of memory corruption. More often memory corruption happens because of software errors in buggy drivers, not because of faulty RAM modules.   
The crash took place in the Windows kernel. Possibly this problem is caused by another driver which cannot be identified at this time.   



Rapport_05 : 
Crash dump file:        C:\Windows\memory.dmp  
Date/time:              03/04/2012 19:11:26 GMT  
Uptime:                 07:43:27  
Machine:                  
Bug check name:         MEMORY_MANAGEMENT  
Bug check code:         0x1A  
Bug check parm 1:       0x41287  
Bug check parm 2:       0x30  
Bug check parm 3:       0x0  
Bug check parm 4:       0x0  
Probably caused by:     ntkrnlmp.exe  
Driver description:       
Driver product:           
Driver company:           
OS build:               Built by: 7601.17727.amd64fre.win7sp1_gdr.111118-2330  
Architecture:           x64 (64 bit)  
CPU count:              4  
Page size:              4096  

Bug check description:  
This indicates that a severe memory management error occurred.  

Comments:  
This might be a case of memory corruption. More often memory corruption happens because of software errors in buggy drivers, not because of faulty RAM modules.   
The crash took place in the Windows kernel. Possibly this problem is caused by another driver which cannot be identified at this time.   




Tous mes pilotes sont à jour, j'ai fait une analyse anti-virus complète de l'ordinateur.  

Merci d'avance pour votre aide  

Cordialement.  



Configuration: Windows 7 64bits pro/ Firefox 11.0 / Asus P5QLD PRO / Intel core quad CPU Q9400 2.66Ghz / Ge force 260 GTX / 8Go DDR2

Ainillia · Accepted Answer

Il faut ouvrir les minidump avec les Windows Debbuger Tools, ils te diront quel fichier est responsable, ainsi qu'une multitude de détails.

Bridget · Answer

Bonjour Linyor,


-  Merci de toujours indiquer configuration détaillée et marque du pc / navigateurs /antivirus pour que l'on puisse t'aider efficacement.

-  Tu écris : "depuis un moment, mon ordinateur fait des crashs...". Peux-tu dater  le début de tes problèmes pour envisager une restauration à une date antérieure ?  Combien de crashes ? Si tu n'as eu que les 4 correspondant aux rapports et rien avant, tu pourrais envisager une restauration du système avant le 28 mars. Si tu ne sais pas comment faire, n'hésite pas à demander.

- Ensuite quels évènements se sont produits avant les problèmes : installation ou mise à jour du matériel ou de logiciels, téléchargements, manips diverses, choc....

- Quel est ton niveau informatique pour que j'adapte mes réponses ?

L'étude des rapports minidump révèlent des conflits dans ton système d'exploitation dus aux drivers, ce qui provoque le vidage de ta mémoire qui peut également être en cause

Bien que ton antivirus n'ait rien trouvé, je préfère que tu fasses ceci :
Télécharge Malwarebytes Anti-malware, fais la mise à jour une fois installé et lance un scan rapide . S'il trouve quelquechose, supprime la sélection et poste le rapport ici.

J'attends de tes nouvelles. Cordialement. Bridget.

Linyor · Answer

Merci de vos réponses rapide, en ce qui concerne ma configuration : 

Carte mère : Asus P5QLD PRO 
Carte graphique : Nvidia Geforce 260GTX 
Ram : 8Go DDR2 
Anti-virus : Kapersky Pure (version officiel bien-sur ^^) 

Le souci des crashs durent depuis environ 2 mois (pas précis) mais rarement, la semaine dernière il a crasher environ 5 fois dons sa commence vraiment à m'inquiéter. L'autre souci c'est que j'utilise beaucoup l'ordinateur, il est donc très sollicité je ne pourrais donc pas faire de rapprochement entre un programme et ces crashs. Ces crashs arrivent sans raison, voici ce que je fessait avant les crashs : des jeux, utilisation de logiciels sans aucun lien, regarder l'écran en écoutant de la musique... Donc il y a vraiment rien qui peux faire tilter. 

Je viens de faire un scan avec Malwarebytes Anti-Malware voici le résultat : 

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.04.04.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Omega :: MASTEROMEGA [administrateur]

04/04/2012 15:19:28
mbam-log-2012-04-04 (15-19-28).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 216689
Temps écoulé: 4 minute(s), 40 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|msnmsgr (Backdoor.Agent) -> Données: C:\Users\Omega\AppData\Local\Temp\microsoft\Office.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
 


J'ai donc effacé ces 2 malware.... rien de grave? 

Sinon je connais pas grand grand chose en terme informatique... 

Encore un grand merci =)

Bridget · Answer

Ca explique tes problèmes. C'est un trojan (backdoor agent) qui a réussi a déstabilisé ton antivirus pour entrer et ouvrir une porte peut-être à un piratage ce qui expliquerait que ta mémoire flanche. Ce n'est pas normal qu'avec 8 GO, ton pc crashe à répétition. Par contre écouter de la musique , en jouant à un jeu qui consomme pas mal +  un pirate qui se sert de ton pc pour envoyer du spam, là  oui. Ca te montre que l'on n'est jamais à l'abri même avec un bon  antivirus et que c'est notre façon de naviguer qui est notre meilleur protection. (Attention aux sites de jeux, au streaming, aux téléchargements incluant dans le package un nuisible....).     

On va faire un diagnostic de ton pc     
Télécharge ZHPDiag sur ton bureau :     

http://www.premiumorange.com/zeb-help-process/zhpdiag.html     

- Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"     
- Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »     
- Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)     
- Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette     
- Héberge le rapport ZHPDiag.txt sur le site : www.pjjoint.malekal.com     

Comment faire :    
Rends toi sur www.pjjoint.malekal.com     
* Clique sur le bouton Parcourir     
* Sélectionne le fichier que tu veux héberger et clique sur Ouvrir     
* Clique sur le bouton Envoyer     
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est par ex : http://pjjoint.malekal.com/files.php?id=df5ea299241015).    
* Copie ce lien et colle-le dans ta prochaine réponse.  

Si quelquechose te parait obscur, n'hésite pas à demander !  

Cordialement Bridget.

Linyor · Answer

J'ai effectué les manipulation que tu m'as dit de faire, voici donc le rapport :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120404_d15y14k13m1514


Ca explique tes problèmes. C'est un trojan (backdoor agent) qui a réussi a déstabilisé ton antivirus pour entrer et ouvrir une porte peut-être à un piratage
Cela explique pourquoi mon antivirus ne se lance plus au démarrage depuis quelques jours?

Bridget · Answer

Bonjour Linyor,     

Je vais prendre une comparaison pour t'expliquer de quoi est en train de crever ton pc. Si tu manges comme un  goinfre n'importe quoi, tu deviens obèse, tu développes des maladies, ton coeur s'essouffle et lâche. Tu meurs.     
C'est ce qui arrive à ton ordi. Tu le goinfres, il déborde et il t'envoie des messages pour te dire qu'il est en train de lâcher. C'est the death screen, l'écran bleu de la mort.     
Une cure d'amaigrissement est vitale, prépare une liste de programmes à virer.   
Et je serais de toi, je commencerai par virer ceux qui n'ont pas de licence légale !     

Car  pour continuer la comparaison, si on prend des substances illégales, on retranche des années à sa vie. Pour le pc, c'est pareil. On pourrait dire, tu crakes, il craque. On s'est compris... Les constructeurs protègent  leur travail, c'est normal, et quand tu utilises un programme craqué, il entre en conflit matériel avec d'autres composants du pc, crée des failles et les infections affluent, entrainant toutes sortes de problèmes.     

Bref, je vais quand même t'aider à désinfecter ton pc afin que tu n'en infectes pas d'autres mais si tu continues comme ça, tu ne tarderas pas à être réinfecté et je ne donne pas longtemps à ton pc pour lâcher au train où tu vas.      

Pour la désinfection : 

Télécharge combofix.exe  sur ton bureau  en allant sur ce site :     
http://download.bleepingcomputer.com/sUBs/ComboFix.exe      

Déconnecte-toi d'internet et ferme les fenêtres de tous les programmes en cours.      
Arrête provisoirement antivirus, parefeu et autres protections pendant l'analyse .     

Clique deux fois sur l'icône combofix.exe.      
Clique ensuite sur  1 (Yes) pour démarrer le scan.      
Pendant  l'analyse, ne touche pas à ton pc.      

Une fois le scan terminé, un rapport apparaît.      
Copie/colle ce rapport dans ta prochaine réponse.      
[Le rapport se trouve également ici : C:\Combofix.txt ]     

Une fois l'analyse terminé ,remets toutes tes protections.     

J'attends de tes nouvelles. Bridget.

Linyor · Answer

Encore merci pour ton aide, en effet je comprend très bien ce que tu m'explique et j'en prend note.

Voici le fichier .txt de l'analyse :

https://sd-g1.archive-host.com/membres/up/19233f9e29d3911ac5352be8829a39fcfc89890e/ComboFix.txt

Linyor · Answer

Désolé du double post, mais depuis que j'ai utilisé "combofix" plus aucun de mes raccourcis ne marchent même les raccourcis sur steam par exemple... J'essaye de rajouter de nouveau raccourcis mais avec le même résultat.

Bridget · Answer

Bonjour Linyor,  

Pas de panique, c'est normal. Combofix a bien travaillé. Ton pc est un malade en traitement, tu ne dois pas l'utiliser tant que ce n'est pas terminé. Ca lui fera des vacances un jour ou deux (on aide les autres en dehors de nos heures de travail) mais s'il était chez un technicien , tu devrais t'en passer 15 jours !  Es-tu à ce point addict ? En dépit de ce que je t'ai dit, tu es déjà à penser à Steam. Si ton pc crashe définitivement, que vas-tu devenir sans lui ? Lol !  
De toutes façons, inutile de penser à télécharger davantage, il est chargé comme une mule. Pour l'instant, fais ta liste et dès qu'il va mieux, il va falloir faire un nettoyage de printemps comme je te l'ai dit pour l'alléger un peu ou je ne donne pas cher de sa peau !  

Pour retrouver les raccourcis : (Les guillemets indiquent une chose importante mais ne doivent pas être tapés.)  

Fais d'abord WIN + r : Pour cela, appuie sur le logo"Windows" (1ère rangée du clavier, 2ème touche en partant de la droite) et en la maintenant appuyée, sur la touche "r"   
La petite fenêtre "Exécuter" s'ouvre. Tape  "Regedit" (donc sans guillemets), puis valide "OK" ou clique sur "Entrée".  

Attention on entre dans le registre, suis  bien les instructions suivantes :  

La fenêtre de "l'éditeur de registre s'ouvre". A gauche, tu vois "poste de travail" tout seul ou avec une liste. A gauche, il y a un petit carré blanc avec un +. (Par exemple, : + icone poste de travail /+ dossier jaune HKEY....)  
     
Tu vas dérouler le registre en suivant le chemin ci dessous. Pour le dérouler , tu appuies à chaque fois sur le petit + dans le minuscule carré blanc à gauche.  
On y va :  

-  HKEY_CURRENT_USER   
-  Software   
-  Microsoft   
-  Windows   
-  CurrentVersion   
-  Explorer   
-  FileExts  
-  .lnk --> Attention la 1ère lettre est un L et pas un I   
Cherche le dossier nommé "UserChoice".    
Si tu ne le trouves pas, ferme le registre sans rien faire et signale-le moi.  
Si tu le  trouves, clique sur le petit dossier, puis fais un clic droit sur la clé qui s'affiche dans la partie droite de la fenêtre.  
Un petit menu se déploie. Clique sur supprimer.  
Ferme le registre et redémarre l'ordi. Tes raccourcis doivent fonctionner.  
   
S'ils fonctionnent :  
- Télécharge AdwCleaner (Merci à Xplode) sur ton Bureau à partir de ce lien :   
http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner   
- Lance le, clique sur "Suppression" puis patiente le temps du scan.   
- Une fois le scan terminé, un rapport s'ouvre : Fais comme les autres fois et poste le lien dans ta prochaine réponse.   

J'attends de tes nouvelles. Bridget.

Linyor · Answer

Merci de ta réponse, pour te répondre je suis embauché par une entreprise pour des projets 3D je travail donc chez moi, c'est vrai que c'est embêtent et je ne peux guère ne pas toucher à mon ordinateur durant 2 jours.

Le fichier "UserChoice" n'est pas dans .link il apparaît dans tous les autres dossier sauf celui la.

J'ai déjà fait beaucoup de place sur l'ordinateur et je compte encore faire du ménage =)

Cordialement.

Linyor · Answer

Je tiens à préciser que les raccourcis fonctionnent à nouveau sans avoir rien fait.

Bridget · Answer

Tant mieux car c'était le signe que le virus se défendait et  cachait des dossiers pour s' y dissimuler.  On va pouvoir avancer.  Avant désinstalle Spybot, il est obsolète et entre en conflit avec d'autres programmes.     

A lire attentivement avant de faire la suite :     

- Désactive ta protection : antivirus, parefeu et ferme toutes les applications.   
Desactive Windows defender si présent    
     
- Télécharge Pre_Scan ici:     
http://sd-4.archive-host.com/membres/up/829108531491024/Pre_Scan.exe      

- Enregistre-le sur ton bureau ou transfére-le sur le bureau s'il n'a pas été enregistré là     
Avertissement:  Il y aura une extinction courte du bureau --> pas de panique.   
     
- Une fois téléchargé sur le bureau, lance-le , laisse faire l'analyse jusqu'à l'apparition de "Pre_scan.txt" sans toucher à rien.   

- Fais comme les autres fois et  poste le lien  sur le forum      

NB : Il se peut que l'outil soit un peu long sur la réattribution des fichiers (tout dépend du nombre) , laisse-le travailler jusqu'au bout.  

Cas particuliers :   
- Si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"    

- Si l'outil est relancé plusieurs fois , il te proposera un menu. Si aucune option n'est demandée, lance l'option "Kill"      

- Si l'outil est bloqué par l'infection utilise la version ci dessous renommée winlogon.exe     
http://sd-4.archive-host.com/membres/up/829108531491024/winlogon.exe      

Le fait de continuer à te servir de ton pc durant notre parcours  de désinfection fausse les données, voilà pourquoi je te demande de ne pas t'en servir jusqu'à demain et tu auras un pc tout propre pour tes pâques !  :)   

A demain. Bridget

Linyor · Answer

J'ai essayé d'utiliser les deux programmes que tu m'as cité. mais impossible de les ouvrir où qu'ils soient... avec ce message :

Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément.

Bridget · Answer

Bonsoir  Linyor,     

Exécute ce qui suit en fonction du problème rencontré et si ça bloque à une étape, précise laquelle dans ta réponse.     

1) As-tu exécuté ces programmes  « en tant qu'administrateur », c'est-à-dire en ouvrant le programme par un clic droit et en sélectionnant "Exécuter en tant qu'administrateur" dans le menu proposé ?     
 a) Si oui, passe au 2)     
 b) Si non, passe au 3).      

2) Le virus a peut-être désactivé  la fonction "administrateur" pour se protéger.      
Vérifie cette hypothèse en suivant le chemin suivant : :      
Démarrer / Panneau de configuration / Système et Sécurité.      
Outils d'administration / Stratégie de sécurité locale      
Sur Stratégies locales, clique sur Options de sécurité      
Dans le volet de droite, double- clic sur Comptes : statut du compte Administrateur et dans l'onglet « Paramètre de sécurité locale », regarde s'il est activé ou pas.      

  a) S'il est activé, passe au 3) mais avec la version Pre_Scan.pif (voir ci-dessous).      
  b) S'il est désactivé, active-le et valide. Passe au 3)     

 3) Retourne à mon  précédent post sur l'outil Pre_Scan et suis les instructions.    
Lance Pre_Scan par clic droit et exécute-le en tant qu'administrateur.     
Tous les processus non vitaux seront coupés, peut-être également  ton Antivirus 
C'est normal. Pas de panique. 
Si l'outil ne se lance toujours pas, va sur ce site télécharger une autre version : http://www.commentcamarche.net/faq/29469-utilisation-de-pre-scan   

Il y a  une version renommée pour tromper le virus :   
Winlogon .exe (Pre_Scan)   

et une version en .pif si les associations de fichiers sont détournées :   
Pre_Scan.pif  (essaie  plutôt celle-là, car je pense que c'est ton cas) 

 4) Si tu as pu arriver au bout de Pre_Scan, héberge le rapport comme les autres fois et poste le lien dans ta réponse.      

Je repasserai tout à l'heure voir où tu  en est. Bridget

Linyor · Answer

Bonsoir, 
Étape 2: en effet l'option était désactivée 

Ensuite j'ai essayé les 3 versions différentes (Pre_Scan.exe, Pre_Scan.pif et Winlogon .exe) mais toujours le même résultat : 
Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément.
J'ai bien tous exécuté en Administrateur.


EDIT à 3h25:
J'ai enfin réussi à lancer le programme (Winlogon.exe) et sa a fonctionné.
Voici donc le Rapport :
https://sd-g1.archive-host.com/membres/up/19233f9e29d3911ac5352be8829a39fcfc89890e/Pre_Scan_10_04_2012_02_49_28.txt

Par contre au début du rapport on vois : 
Pare-feu windows : Actif
Windows Defender : Actif
Alors qu'ils sont désactivés, et Kapersky ne veux toujours pas se lancer au démarrage de Windows.

Encore merci de ton aide.
Cordialement.

Linyor · Answer

Il m'est impossible de mettre Kapersky à jour. Je pense que le virus bloque tout sa, est ce qu'une réinstallation de l'anti virus est envisageable? ou pas tout de suite?

Linyor · Answer

Désolé des posts à la suite mais on ne peux pas éditer...  

Je viens de voir un programme qui s'appel "hale.exe" j'ai regardé sur internet et on parle de virus...  
Découverte aussi d'un certain udb.exe qui semblerais très dangereux pour l'ordinateur. je vais donc les bloquer en attendant ta réponse.

Edit : Depuis que j'ai bloqué ces 2 programmes je viens de voir que mon anti virus ne foncionnait pas bien depuis 176 jours, à chaque fois il me disait que les bases était fortement dépassé alors que je fesais la mise à jour automatique. j'ai bloqué ces 2 logiciels et la mise a jour c'est enfin faite et il m'a marqué que les bases n'était pas à jour depuis ces 176 jours.... J'ai trouvé la fail ou pas encore?

Bridget · Answer

Bonjour Linyor,      

Ton ordi est très infecté et nécessite un traitement sérieux. Ne t'inquiète pas, Pré_Scan n'est pas un simple scan. C'est en lui-même un traitement,  un outil très pointu qui permet de traiter les cas de prise de contrôle d'un pc par un logiciel malveillant. Je me plonge ce soir dans le rapport car je travaille toute la journée et je te dis quoi faire ce soir ou demain matin. Ne prends pas l'initiative de changer tel ou tel élément car je vais me baser sur ce rapport pour t'envoyer les correctifs et cela peut  fausser le traitement. C'est pourquoi je t'ai demandé de ne pas toucher à ton pc d'ici là. Je fais le maximum pour que tu puisses l'avoir au plus vite.       

Il ne faut avoir qu'un seul antivirus et parefeu sans quoi il y a conflit, d'où vulnérabilité dont profitent les nuisibles pour entrer à travers le streaming, le peer to peer, le chatting, les téléchargements et surtout les cracks etc... Le programme malveillant prend alors le contrôle du pc.       

C'est ce qui s'est produit. Avec deux protections, il y a eu conflit. Il a suffi d'une seconde durant laquelle Kaspersky, déstabilisé, n'a pas fonctionné en temps réel et avec un téléchargement, le virus a pénétré arrétant celui des antivirus qui l'embétait, (Kaspersky qui aurait pu le détecter) et laissant l'autre qui visiblement ne l'embétait pas car ne le détectait même pas. C'est là qu'on voit que c'est nous-même notre meilleure protection et que notre sécurité dépend de nos choix.  

La mise à jour automatique a pu être désactivée par le virus. Ce qui est étonnant, c'est que tu n'aies pas remarqué que Kaspersky ne fonctionnait plus correctement depuis 176 jours !  Je te laisse car j'ai beaucoup de boulôt et j'ai profité de quelques minutes de tranquilité pour te répondre. A très vite. Cordialement Bridget.     

Ps : Pour éditer, cliquer sur "Modifier" ci-dessous.

Linyor · Answer

Merci bien de ta réponse, en ce qui concerne les pare feu windows ils on toujours été désactivé, c'est pourquoi je ne comprend pas pourquoi dans le rapport il marque qu'ils sont actifs alors que non. J'attend la suite des instructions, fait sa quand tu le peux ne t'inquiète pas.

Ps : le bouton modifier n'apparait pas tout le temps même quand je suis loguer...

Bonne journée

Bridget · Answer

Bonjour Linyor,    

Voici du travail.    

Tout d'abord, as-tu désinstallé "Spybot Search and Destroy"?  C'est un utilitaire  que nous n'utilisons plus et qui freine la désinfection car il entre en conflit avec d'autres outils. Si tu ne l'as pas fait, désinstalle-le avant de faire la suite.      

Ferme toutes tes applications et navigateurs.    

Désinstalle  Kaspersky qui refusera de se mettre à jour après 176 jours, réinstalle-le, fais les mises à jour puis désactive-le  le temps de cette partie de la désinfection.    

Vérifie quand même que le virus n'ait pas activé l'autre antivirus, car c'est quand même curieux que celui-ci  apparaisse activé dans le rapport. Après être  entrés (en ayant désactivé  la protection) et bien camoufflés, certains virus vont jusqu'à se protéger afin  que d'autres n'entrent pas pour que l'ordinateur ne paraisse pas infecté et pouvoir agir tranquillement.     

Connecte tous tes  supports amovibles (clés usb, disque dur externe, etc.) avant de lancer ces utilitaires par clic droit et en tant qu'administrateur.    

1) Malwarebytes Anti-Malwares (MBAM)    
Va dans l'onglet "Paramêtres ", puis "paramêtres de l'examen". Ccoche tout et affiche tout  "en pré-cochés pour la suppression" en particulier le P2P.    

Mets MBAM à jour et fais une recherche COMPLETE cette-fois. Ca peut être long.    
S'il trouve des éléments nuisibles, supprime-les et poste le rapport s'il est long comme les autres fois en collant le lien dans ta réponse. S'il ne trouve rien, ce n'est pas pour autant que c'est terminé. C'est juste que dans son domaine de compétence, il ne trouve plus rien. Attention, note ton lien et  n'ouvre pas ton navigateur avant d'avoir également fait l'examen suivant et remis ton antivirus. Inutile d'héberger un nouvel hôte !    

2) ADW Cleaner. Exécute-le par clic droit en tant qu'administrateur.    
Clique dans un 1èr temps sur "Recherche" et poste le lien.    

Continue à faire le ménage de tout ce qui est inutile. Ton vilain hôte se balade dans Facemoods. J'attends de voir si les 2 l'éliminent.     

Vérifie si Java, Adobe et flash Player, et tous tes players sont à jour. Ce sont des logiciels vulnérables par lesquels entrent les malfaisants. Ils doivent être constamment à jour. De même que Windows.    

Fais déjà  cette 1ère partie et reviens avec rapports et réponses aux questions.    
As-tu rencontré des problèmes dans l'exécution de cette partie ?    
Ressens-tu déjà une amélioration à ce stade ?    
As-tu récupéré tes raccourcis ?    

Je vais coucher. Je me lève dans 3h ! A demain. Bridget.

Linyor · Answer

Bonjour, 
1) avec MBAM : J'ai fait donc l'analyse complète avec tous les disques branchés et cochés. Juste une toolbar a été détectée comme suspect alors que c'est la toolbar de game for windows live, mais je l'ai quand même supprimé vu que je ne l'utilise pas. Sinon rien d'autre.

2)ADWCleaner voici le rapport :
# AdwCleaner v1.505 - Rapport créé le 12/04/2012 à 18:53:01
# Mis à jour le 07/04/2012 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : Omega - MASTEROMEGA
# Exécuté depuis : C:\Users\Omega\Downloads\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\ProgramData\Babylon
Dossier Présent : C:\Users\Omega\AppData\Roaming\Babylon
Dossier Présent : C:\Users\Omega\AppData\Local\Babylon
Dossier Présent : C:\Users\Omega\AppData\Local\Software
Dossier Présent : C:\Program Files (x86)\Software
Fichier Présent : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml

***** [H. Navipromo] *****


***** [Registre] *****

Clé Présente : HKCU\Software\Softonic
Clé Présente : HKLM\SOFTWARE\Babylon
Clé Présente : HKLM\SOFTWARE\Software
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

***** [Registre (x64)] *****

Clé Présente : HKCU\Software\Softonic
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v11.0 (fr)

Nom du profil : default 
Fichier : C:\Users\Omega\AppData\Roaming\Mozilla\FireFox\Profiles\ovv8i8wm.default\prefs.js

Présente : user_pref("browser.search.defaultenginename", "Facemoods Search");
Présente : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Présente : user_pref("extensions.BabylonToolbar_i.babExt", "");
Présente : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=109981");
Présente : user_pref("extensions.BabylonToolbar_i.hardId", "0e570019000000000000e0cb4e1f9914");
Présente : user_pref("extensions.BabylonToolbar_i.id", "0e570019000000000000e0cb4e1f9914");
Présente : user_pref("extensions.BabylonToolbar_i.instlDay", "15408");
Présente : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Présente : user_pref("extensions.BabylonToolbar_i.ovrDmn", "isearch.babylon.com");
Présente : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Présente : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Présente : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Présente : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Présente : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
Présente : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Présente : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1712:06:24");
Présente : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Présente : user_pref("extensions.facemoods._xpiupdate", true);
Présente : user_pref("extensions.facemoods.aflt", "_#wbst");
Présente : user_pref("extensions.facemoods.dnsErr", true);
Présente : user_pref("extensions.facemoods.fcmdVrsn", "1.2.7.5.4");
Présente : user_pref("extensions.facemoods.first_time", false);
Présente : user_pref("extensions.facemoods.id", "_#c1c5689e54994ab58588790d49a650d0");
Présente : user_pref("extensions.facemoods.instlDay", "_#15367");
Présente : user_pref("extensions.facemoods.newTab", true);
Présente : user_pref("extensions.facemoods.prtnrId", "_#facemoods.com");
Présente : user_pref("extensions.facemoods.sid", "_#c1c5689e54994ab58588790d49a650d0");
Présente : user_pref("extensions.facemoods.update", "_#v1.4.0");
Présente : user_pref("extensions.facemoods.vrsn", "_#1.4.17.5");

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Omega\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [5851 octets] - [12/04/2012 18:53:01]

########## EOF - C:\AdwCleaner[R1].txt - [5979 octets] ##########


Comment bien suprimmer ce "facemoods" ansi que ce "babylon" ?

3) J'ai vérifié que tout soit bien à jour est tout est ok.

4) - Les raccourcis fonctionnent très bien.
- J'ai l'impression que l'ordi est plus fluide plus rapide
- Avant mes processeurs affichaient souvent qu'ils étaient utilisés quasi à 100% sans rien faire et maintenant il tourne à 5% sans rien faire...
- Kapersky c'est lancé au démarrage tout à l'heure.

- Quand est t'il des programmes "hale" et "udb" , comment les supprimer proprement ?

Merci encore de ton aide.

Cordialement.

Bridget · Answer

Bonne nouvelle. Nous allons terminer la désinfection, (hier j'avais trop de travail )ensuite, il  restera deux autres petites étapes pour régler  un problème  annexe et le nettoyage final.  

Pour ce qui est de la toolbar infectée détectée par MBAM, même si elle t'avait servie, il aurait fallu la supprimer. Une infection informatique est comme une plaie purulente.  On ne peut pas laissé du pus quelquepart. Il faut tout nettoyer et prendre son traitement jusqu'au bout.  

Concernant les deux programmes que tu m'as indiqués : Le net est une banque de données  exceptionnelle, mais ensuite il faut pouvoir analyser l'information. Un programme peut d'emblée être reconnu  comme mauvais mais le plus souvent il se camouffle dans un dossier irréprochable ou prend des allures de programmes connus. Chaque cas est différent. L'emplacement où il se trouve est entre autres un des critères de discernement.  

Hale.exe : Il existerait 4 fichiers différents connus sous le nom de hale.exe. 
L'un est conforme.  Ce serait un programme de monitoring (surveillance du fonctionnement) du pc.   
Un autre  est utilisé dans le piratage de logiciels comme les craquages d'activation.  Pour les deux autres, aucune précision.  

Ubd.exe appartient à un processus Apple sans plus de précisions et n'est pas noté comme une menace a priori.  

Lance une "Recherche"  pour chacun des 2 fichiers séparemment. Clique gauche sur les dossiers trouvés et note en bas l'emplacement de chacun. Note également leur taille  
 
Remets-les en route  et dis-moi le comportement de ton pc et ce qu'ils font : s'ils se lancent au démarrage, travaillent en arrière-plan.  
Pour cette vérification : 
- va dans le gestionnaire des tâches (clic droit sur la barre des tâches)
-  puis dans l'utilitaire de configuration du système en faisant Exécuter ou WIN+R (WIN = logo de windows, situé 1ère ligne du clavier,   
2ème touche en partant de la droite + R pour run)   
La fenêtre "Exécuter" s'ouvre : tape msconfig puis fais OK   
Clique sur l'onglet "démarrage",   
Une liste des programmes lancés au démarrage apparait.   

Ensuite, rends-toi sur le site "VIRUS TOTAL" :  
https://www.virustotal.com/   

? Clique sur le bouton "choose file"   
? Recherche les fichiers en question  sur ton pc. Tu ne peux soumettre qu'un fichier à la fois.  
? Clique sur le bouton "Scan it"   
? Patiente pendant le transfert du fichier .  

Il va t'être répondu que le fichier a déjà été soumis par d'autres. Ne t'en préoccupes pas. Soumets ton propre fichier afin que le tien soit scanné.  
Ensuite, fais un copié/collé et mets-moi le lien de ces deux rapports.J 

Reviens avec tous ces renseignements. Si je l'ai ce soir, on peur terminer la désinfection. J'ai un peu de temps.

Linyor · Answer

Bonjour, J'ai donc établi la recherche des 2 fichiers. Hale.exe Je trouve cette élément quand je fait la recherche avec le menu démarrer, avec un clique droit et propriété j'ai ceci : https://sd-g1.archive-host.com/membres/images/19233f9e29d3911ac5352be8829a39fcfc89890e/hale_01.PNG Sinon avec msconfig je voie qu'il est lancé au démarrage : Élément de démarrage : Chew7Hale Fabricant : inconnu Commande : Windows\System32\hale.exe Il me dit que ce fichier se trouve dans system32 mais impossible de le trouver, je n'est donc pas pu l'analyser. ubd.exe Ce fichier se trouve dans Apple\internet Services apparemment inoffensif, voici le rapport : https://www.virustotal.com/file/8ed5faf0f1f4ab6d09effc75ffe03939e333db1f70c8d226afa34bd2a6a94ce9/analysis/1334459917/

Utilisateur anonyme · Answer

regarde ici https://forum.zebulon.fr/topic/55305-comment-reparer-lerreur-minidump

Bridget · Answer

Bonjour Linyor, 

Le 1èr est un signe clair de ce dont nous avons déjà parlé !  Est-ce que le jeu en vaut la chandelle quand on voit les vulnérabilités et dommages que cela entraîne et le  mal qu'on a ensuite pour essayer de sauver le pc ! Le fait qu'il se cache n'est pas bon signe.
http://www.latest-virus.com/hale-exe-2581 

Pour  afficher les dossiers cachés :
http://www.ballajack.com/comment-afficher-fichiers-caches-windows7 
Il faudra les recacher ensuite car ils sont vulnérables et doivent rester protégés. 

Pour le 2ème, le lien aboutit à la page d'accueil de Virus Total. Il faut  faire un copié/collé du rapport. Fais-moi aussi une copie d'écran pour celui-là.  

Continuons la désinfection pour éliminer Facemoods et Babylon :   
Branche usb et disque externe   
Ferme toutes tes applications et internet  
Désactive Kaspersky  

Ouvre ADWCleaner par clic droit en tant qu'administrateur  
Lance l'outil en mode  "suppression" et laisse-le travailler.   
Copie/colle le rapport.  

Ces deux adwares étant coriaces, si la suppression en mode normal ne fonctionne pas, exécute-la en mode sans échec.  
* Redémarre le PC. Après la première image (celle du BIOS), tapote la touche F8 jusqu'à l'apparition du menu des options avancées.   
* Ensuite à l'aide des flèches du clavier en bas à droite, sélectionne « Mode sans échec avec prise en charge réseau» et valide par Entrée.   
* Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.   
Si tu ne l'as jamais démarré en mode sans échec, tu verras ton bureau changé, çe n'est rien, tout est économisé au maximum.  

Une fois, le travail d' AdwCleaner terminé, réactive Kaspersky.  

Enfin, fais un nouveu rapport ZHPDiag , pour vérifier s'il reste des points à traiter. héberge-le comme les autres fois et colle le lien dans ton prochain post.  
Bonne journée. Bridget.

Bridget · Answer

Bonjour Linyor, 

Plus de nouvelles, je suppose que ton pc a retrouvé une certaine vitalité. ( Ca aurait été tout de même sympa de m'en faire part.) Cependant comme tu n'as pas terminé la procédure, je te signale que tu as conservé un foyer d'infection qui est une bombe à retardement au coeur de ton système. A toi de voir. Cordialement Bridget.

J'en profite pour dire que c'est là une chose à ne pas faire  : abandonner avant la fin de la  désinfection, dès qu'on sent que le pc va mieux. Il faut attendre le feu vert du helper  si on veut éviter une rechute rapide.

Linyor · Answer

Désolé j'étaie à un mariage durant ces quelques jours je suis rentré que ce matin . Je me remet de suite à nettoyer l'ordinateur. Je ne partirait pas sans t'avoir dit un gros merci ^^ 

Bon je te tiens au courent des étapes que tu ma dis de faire.


Edit :
Bon, en effet maintenant je vois bien ce fameux fichier "hale.exe", mais il n'apparaît pas quand je veux l'ouvrir avec VirusTotal.

En ce qui concerne ubd.exe : voici le screen de ces détails : 
https://sd-g1.archive-host.com/membres/images/19233f9e29d3911ac5352be8829a39fcfc89890e/ubd_01.PNG

et voici le fichier txt du rapport de virusTotal (en espérant que c'est bien sa le rapport) : 
https://sd-g1.archive-host.com/membres/up/19233f9e29d3911ac5352be8829a39fcfc89890e/udb_virustotal.txt


Kapersky se lance une fois sur 2 au démarrage, donc dû à un de ces programmes.
J'attend quand même ton opinion avant de procéder au nettoyage de l'ordi, pourle programme "hale.exe" que je ne peux analyser. Puis-je tenter une analyse avec Kapersky de ce programme ou non?

Encore merci

Linyor · Answer

Voici le rapport de la suppression avec adwCleaner :
https://sd-g1.archive-host.com/membres/up/19233f9e29d3911ac5352be8829a39fcfc89890e/AdwCleanerS1.txt

Bridget · Answer

Bonjour Linyor, 

Je regarde ça  et je te dis quoi dès que possible car là je suis en famille. Hier soir, je t'avais mis un long message avec diverses choses, je l'enregistre, je le vois bien enregistré. Je ferme l'ordi et là, je vois qu'il n'y a plus rien, il y a dû avoir un bug ! Grrr...

Bridget · Answer

Bonjour Linyor,   

Comme tu vois, j'ai suivi ton conseil et bien profité.  J'ai des invités toute la semaine avec les vacances scolaires.... Comment va ton pc ?    
Peux-tu m'envoyer un nouveau rapport ZHPDiag pour comparer avec le 1èr et voir si l'infection est éradiquée ? @+ Bridget

Linyor · Answer

lol super =)

Voici donc le rapport ZHPDiag :
https://sd-g1.archive-host.com/membres/up/19233f9e29d3911ac5352be8829a39fcfc89890e/ZHPDiag.txt

Linyor · Answer

Oui en effet ^^ voici le rapport avec la version à jour :
https://sd-g1.archive-host.com/membres/up/19233f9e29d3911ac5352be8829a39fcfc89890e/ZHPDiag-30_04_12.Txt

Et oui j'ai CCleaner

Merci encore
@+

Utilisateur anonyme · Answer

bonjour,

tu peux essayer de proceder comme ceci ? 


* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

Linyor · Answer

Bonjour, j'ai essayé avec Cjoint et voici donc le rapport :
http://cjoint.com/12av/BDEoshlezj6.htm

Utilisateur anonyme · Answer

tes problèmes ont commencé depuis 09/04/2012 !

O44 - LFC:[MD5.485055033BCDDFDE56325C0D2FEEA4F2] - 09/04/2012 - 10:16:37 ---A- . (...) -- C:\Windows\KMSEmulator.exe   [151552]  





trouve ce fichier :

C:\Windows\System32\hale.exe

compresse le,

hébérge le sur Cjoint et envoie moi le lien en message privé s'il te plait !

Merci  :D

Utilisateur anonyme · Answer

il se peut que le fihier sont supprimé, mais que la clé du registre qui le lance soit toujours présente !


installe la dernière version de java depuis son site dédié :

Version 6 Update 32

https://www.java.com/fr/download/



attention au P2P !





*	Lance ZHPFix via le raccourci sur ton Bureau



Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)


*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

O44 - LFC:[MD5.485055033BCDDFDE56325C0D2FEEA4F2] - 09/04/2012 - 10:16:37 ---A- . (...) -- C:\Windows\KMSEmulator.exe   [151552]   
O53 - SMSR:HKLM\...\startupreg\Chew7Hale  [Key] . (...) -- C:\Windows\System32\hale.exe    
O53 - SMSR:HKLM\...\startupreg\facemoods  [Key] . (...) -- C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe (.not file.)   
O53 - SMSR:HKLM\...\startupreg\facemoods  [Key] . (...) -- C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe (.not file.)   
[MD5.00000000000000000000000000000000] [APT] [Express Files Updater] (...) -- C:\Program Files (x86)\ExpressFiles\EFupdater.exe (.not file.)   
 "C:\Users\Omega\AppData\Local\Temp\microsoft\Office.exe" [Enabled] .(...) -- C:\Users\Omega\AppData\Local\Temp\microsoft\Office.exe (.not file.)    
O53 - SMSR:HKLM\...\startupreg\msnmsgr  [Key] . (...) -- C:\Users\Omega\AppData\Local\Temp\microsoft\Office.exe (.not file.)    
Emptytemp



---------------------------------------------------------- 
 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html




tu as déjà MBAM sur ton pc ,


lance le,


. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Bridget · Answer

Bonjour Electricien  69, 

1) "tes problèmes ont commencé depuis le 09/04/2012 !  
O44 - LFC:[MD5.485055033BCDDFDE56325C0D2FEEA4F2] - 09/04/2012 - 10:16:37 ---A- . (...) -- C:\Windows\KMSEmulator.exe [151552]  

Non, relis le début, ses problèmes ont commencé avant et lors du rapport ZhpDiag que je lui avais demandé en date du 04/04/2012, ce logiciel n'avait pas encore été installé et n'apparaissait donc pas sur ce rapport. 

J'avais déjà néanmoins, au vu de ce 1èr rapport, mis en garde  Linyor sur le danger de l'utilisation de certains logiciels.  

2) Bien évidemment qu'il devait rester des traces, c'est pourquoi je venais de demander à Linyor s'il avait CCleaner, voulant lui faire procéder à divers nettoyages, lorsque tu es arrivé.  

PS : Je suis toujours prête à faire les choses en commun, à échanger, à partager connaissances, conseils  et expérience, mais j'aimerais que tu n'ais pas l'air de mettre en doute le travail que j'ai fait avec Linyor jusqu'à présent sans avoir lu l'ensemble !  Cordialement Bridget.

Linyor · Answer

Bonsoir à tous,
Désolé pour mon absence.
Voici le rapport des fichiers supprimés.
https://sd-g1.archive-host.com/membres/up/19233f9e29d3911ac5352be8829a39fcfc89890e/ZHPFIX.txt

il y a 3 jours j'ai eu de nouveau un crash, alors que je n'est rien installer ou télécharger de nouveau. J'essaye d'utiliser mon ordinateur portable au max...

Merci d'avance =)

Linyor · Answer

Mon problème est t-il réglé ou pas encore?

Utilisateur anonyme · Answer

bonjour,

j'ai filé un coup de main à Bridget pour avancer le poste, on attend de voir ce qu'elle en pense  :D

Linyor · Answer

Voilà, le souci recommence. Cette foit j'ai réussi inextrémiste à prendre une photo de ce blue screen de la mort qui tue tout.  

https://sd-g1.archive-host.com/membres/images/19233f9e29d3911ac5352be8829a39fcfc89890e/IMG_0456.JPG

Apparemment le problème viendrais de ma carte graphique qui chauffe de trop, (FAN), le système reboot pour éviter la casse.  
J'attend quand même votre opinion sur ce sujet...  
Ps : je met régulièrement mes pilotes à jours et je nettoie l'ordi toutes les 2 semaines.

Linyor · Answer

Up

Utilisateur anonyme · Answer

bonjour,

toujours pas de nouvelles de Bridget ?


lis ceci :

http://translate.google.fr/...

Linyor · Answer

Bonjour,
En effet plus de nouvelle de Bridget :s
J'avais en effet regardé ce qu'était "kl1.sys" et remarqué qu'il s'agissait de Kapersky. J'ai en effet désinstallé l'ancienne version de kapersky pure pour installer la nouvelle, maintenant kapersky se lance bien au démarrage donc plus de souci de se coter la. 
J'ai aussi complétement supprimer les drivers de ma carte graphique pour procédé à sa réinstallation complète sans passer par l'outil "réparé".
Sans utilisation de l'ordinateur ma carte monte quand même à 50°.
J'ai procédé à une défragmentation complète de tous mes disques dur. J'ai aussi tous débranché mes composants informatiques pour tout bien remonter (juste au cas ou ^^), j'ai bricoler un ventilateur pour la monté en plus sur ma carte graphique en attendant d'avoir les moyens d'acheter un ventilateur pour ma carte (mais je sais pas si c'est vraiment efficace).
J'attendais d'avoir des nouvelles de Bridget pour l'utilisation de CCleaner que j'utilise régulièrement mais je ne sais pas ce à quoi elle voulais que je "touche".

Utilisateur anonyme · Answer

bonjour,
concrêtement, est ce que le pc fonctionne correctement?

as tu encore des difficultés avec le pc ?

Linyor · Answer

Le pc vas mieux qu'au départ, mise à part les blue-screen qui persistent encore le pc vas bien.

Utilisateur anonyme · Answer

quel est le message sur l'ecran bleu ?

trouves tu un nom de fichiers ou pilotes en cause de bsod ?

Linyor · Answer

Je n'est plus que les 3 derniers crash de mon pc, les autres on disparus je ne sais pas trop pourquoi (nettoyage avec CCleaner?)

Voici le screen de whocrashed avec les 3 crash qui ont eux lieu le même jour.

https://sd-g1.archive-host.com/membres/images/19233f9e29d3911ac5352be8829a39fcfc89890e/Crash_29-06-12.PNG

Utilisateur anonyme · Answer

ok,

as tu eu encore de Bsod depuis ?

Linyor · Answer

depuis cette date non, j'ai réinstallé complétement ma carte graphique et je ne l'ai plus vue dépasser les 75°.
J'espère juste que le souci est réglé maintenant.

Utilisateur anonyme · Answer

ok,

/!\ Attention : 
de plus en plus de programmes proposent l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas de décocher la/les cases correspondantes pendant l'installation.




* pour supprimer les outils de désinfection 
: 
Télecharge Delfix sur ton bureau : 

ICI

ou
	
https://www.commentcamarche.net/telecharger/securite/7111-delfix/ 

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message 
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 



	
	
  
. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau 

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/  

.double-cliques sur le fichier pour lancer l'installation 

/!\ regarde bien qu'au moment d'installation, on ne t'installe pas les barres d'outils, si c'est le cas, décoche la case correspondante ! 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur » 

.sur la fenêtre de l'installation langage bien choisir français et OK  
.cliques sur suivant  
.lis la licence et j'accepte  
.cliques sur suivant  
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner  
.cliques sur installer  
.cliques sur fermer  
.double-cliques sur l'icône de Ccleaner pour l'ouvrir  
.une fois ouvert tu cliques sur option et puis avancé  
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures  
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse une fois l'analyse terminé  
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien  
.cliques maintenant sur registre et puis sur rechercher les erreurs  
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées  
.il te demande de sauvegarder OUI  
.tu lui donnes un nom pour pouvoir la retrouver et enregistre  
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK  
.il supprime et fermer tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner 

tuto installation & nettoyage :  
https://www.donnemoilinfo.com/tuto/CCleaner/ 



* Supprimer les anciens points de restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 


Pour Windows 7 :
 
https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

 


* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

Lenior · Answer

Bon, 
Je devais sans doute avoir des bugs de pilotes et autres choses, et j'ai réinstallé complétement Windows en fessant le ménage à fond avant. 
Sa va faire 2 jours maintenant et plus de souci de crash ma carte graphique n'as pas dépassé les 70° avec une utilisation poussé. au lieu de 100° avant. je pense donc maintenant que le souci est réglé j'ai crée une sauvegarde au cas ou.

Utilisateur anonyme · Answer

c'est super,

sur ce, bonne continuation  :D

Lenior · Answer

Encore merci à tous ceux qui mon aider car la tâche n'aura pas été facile. Encore merci =)

Manu · Answer

Bonjour , j'ai exactement le même probleme que Lenior. Serait il possible d'avoir une version condensé de la solution à ce problème étant donné qu'il semble qu'il y ai eu bcp de tatonnement pour trouver la solution ^^

Blue Screen Minidump que faire?

55 réponses

Discussions similaires