Windows plante à l'allumage et est très lent + PUP

Question

Bonjour,  



Configuration: Windows 7 / Internet Explorer 9.0
Windows plante 1 fois sur 2 à l'allumage depuis quelques jours, le PC est sinon très lent à s'allumer alors que ça n'a jamais été le cas. Ensuite quand il fonctionne enfin je dois réparer car le service sans fil windows n'est pas disponible. 
J'ai constaté la présence de malwares avec malwarebytes, des PUP "Game play Lab". 
J'ai constaté aussi qu'un programme que je n'ai jamais téléchargé s'est installé dans mes pprogrammes. Je l'ai supprimé immédiatement. C''etait un truc qui contenanait le mod vid, je ne sais plus trop, mais il était bien connu comme porte ouverte aux malwares sur le net. 
Ci-dessous le rapport initial de Malwarebyte, j'ai ensuite excécuté Adwcleaner pour être sure que tout était enlevé, rapport encore plus bas. Antivir ne trouve rien d'anormal, malwarebyte plus rien non plus... 

Quelqu'un sait-il quel est le souci?? merci :( 

Malwarebytes Anti-Malware 1.65.1.1000 
www.malwarebytes.org 

Version de la base de données: v2012.11.15.08 

Windows 7 Service Pack 1 x64 NTFS 
Internet Explorer 9.0.8112.16421 
Nathalie :: NATHALIE-PC [administrateur] 

15/11/2012 22:16:51 
mbam-log-2012-11-15 (22-16-51).txt 

Type d'examen: Examen rapide 
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM 
Options d'examen désactivées: P2P 
Elément(s) analysé(s): 205930 
Temps écoulé: 17 minute(s), 13 seconde(s) 

Processus mémoire détecté(s): 0 
(Aucun élément nuisible détecté) 

Module(s) mémoire détecté(s): 0 
(Aucun élément nuisible détecté) 

Clé(s) du Registre détectée(s): 11 
HKCR\CLSID\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès. 
HKCR\TypeLib\{44444444-4444-4444-4444-440044344491} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès. 
HKCR\Interface\{55555555-5555-5555-5555-550055345591} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès. 
HKCR\CrossriderApp0003491.BHO.1 (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès. 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès. 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès. 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès. 
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès. 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès. 
HKCR\CrossriderApp0003491.BHO (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès. 
HKCU\SOFTWARE\INSTALLEDBROWSEREXTENSIONS\215 APPS (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès. 

Valeur(s) du Registre détectée(s): 1 
HKCU\Software\InstalledBrowserExtensions\215 Apps|3491 (PUP.CrossFire.SA) -> Données: Vid-Saver -> Mis en quarantaine et supprimé avec succès. 

Elément(s) de données du Registre détecté(s): 0 
(Aucun élément nuisible détecté) 

Dossier(s) détecté(s): 0 
(Aucun élément nuisible détecté) 

Fichier(s) détecté(s): 2 
C:\Program Files (x86)\Vid-Saver\Vid-Saver.dll (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès. 
C:\Users\Nathalie\AppData\Local\Temp\VidSaver11_20120508.exe (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès. 

(fin) 



# AdwCleaner v2.007 - Rapport créé le 16/11/2012 à 00:10:34 
# Mis à jour le 06/11/2012 par Xplode 
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits) 
# Nom d'utilisateur : Nathalie - NATHALIE-PC 
# Mode de démarrage : Normal 
# Exécuté depuis : C:\Users\Nathalie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HUS6JXJA\adwcleaner.exe 
# Option [Suppression] 


***** [Services] ***** 


***** [Fichiers / Dossiers] ***** 

Dossier Supprimé : C:\ProgramData\Ask 

***** [Registre] ***** 

Clé Supprimée : HKCU\Software\AppDataLow\Software\Crossrider 
Clé Supprimée : HKCU\Software\Cr_Installer 
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0003491.FBApi 
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0003491.FBApi.1 
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0003491.Sandbox 
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0003491.Sandbox.1 
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow [*.crossrider.com] 
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow [*.crossrider.com] 

***** [Navigateurs] ***** 

-\ Internet Explorer v9.0.8112.16421 

[OK] Le registre ne contient aucune entrée illégitime. 

-\ Mozilla Firefox v16.0.2 (fr) 

Nom du profil : default  
Fichier : C:\Users\Nathalie\AppData\Roaming\Mozilla\Firefox\Profiles\bvc6z8mv.default\prefs.js 

Supprimée : user_pref("browser.search.order.1", "Ask.com"); 
Supprimée : user_pref("browser.search.selectedEngine", "Ask.com"); 

************************* 

AdwCleaner[R1].txt - [1689 octets] - [16/11/2012 00:03:34] 
AdwCleaner[R2].txt - [1745 octets] - [16/11/2012 00:10:09] 
AdwCleaner[S1].txt - [1689 octets] - [16/11/2012 00:10:34] 

########## EOF - C:\AdwCleaner[S1].txt - [1749 octets] ##########

g3n-h@ckm@n · Answer

salut c'était pas Ilivid Toolbar ? ^^

====

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log

Natatouille · Answer

Coucou

Non, c'était pas I livid Toolbaar. Je ne sais pas comment s'est venu, je ne télécharge jamais rien directement sur ce PC, j'essaie de le garder sain mais j'ai ma petite idée.
J'ai désactivé pare feu, Antivir, spyware blaster, tous les programmes et j'ai fait le scan? Je ne m'attendais pas à ce que ce soit si long donc je suis partie faire un tour. Une fois revenue, le scan était terminé mais pas de rapport disponible. J'ai cherché, tenté de réactiver le programme mais rien. Je vais reconmmencer!

Déjà merci je poste dès que possible

g3n-h@ckm@n · Answer

je te dis le rapport est dans c:\

natatounette · Answer

mes excuses:
il est bien là:
https://forums-fec.be/upload/www/?a=d&i=5791081671

g3n-h@ckm@n · Answer

nickel , relance l'outil clique sur le bouton "DiaG" au menu qui va apparaitre , et poste le rapport Pre_Diag

natatounette · Answer

voici
https://forums-fec.be/upload/www/?a=d&i=3869046889

g3n-h@ckm@n · Answer

desinstalle adobe reader 9

 ======

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://textup.fr/34605Rc

Selectionne tout le texte qui s'y trouve 

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Natatouille · Answer

J'ai fait exactement ce que tu dis: 
désinstaller Adobe reader 9
rééteindre tous mes antiviris, programmes en marche, pare feu
copié collé le texte 
relance prescan avec option script
collé le texte, enregistrer, fermer
il s'arrête en plein milieu du scan à "shutting down precesses, sur btwdins.exe
la fenêtre de prescan reste ouverte mais plus rien n'avance, le scan semble bloqué... ?

g3n-h@ckm@n · Answer

ditdefender....je suis en train de voir avec euxx...

bref....

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

natatounette · Answer

Merci
Voici:
http://cjoint.com/?3KvpiIg3rCq

Pour adobe Reader, j'en ai pas besoin urgemment mais sûrement plus tard.
Si tu peux me dire si et quand je peux le réinstaller.

Encore merci

g3n-h@ckm@n · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : https://www.cjoint.com/ ▶ Clique sur Parcourir et cherche le fichier ci-dessus. ▶ Clique sur Ouvrir. ▶ Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://cjoint.com/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ▶ Copie ce lien dans ta réponse. ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

Natatouille · Answer

Voilà voilà, 5 heures de scan.
Aucun virus détecté.
Lorsque je clique sur fichier, l'option est en gris "enregistrer le rapport d'analyse". je ne peux pas accéder ou enregistrer le rapport.

g3n-h@ckm@n · Answer

il s'est donc pas eteint pendant tout le scan ?

Natatouille · Answer

non du tout, je ne l'ai pas quitté, il est resté à côté de moi au boulot.

g3n-h@ckm@n · Answer

tu peux refais un OTL mais avec la config que je donne stp ?

Natatouille · Answer

oui bien sûr
donnes la moi je le fais.
Tu penses que c'est possible que je n'ai aucun virus?

g3n-h@ckm@n · Answer

bah je te l'ai donnée déjà ici :

https://forums.commentcamarche.net/forum/affich-26509926-windows-plante-a-l-allumage-et-est-tres-lent-pup#10

seulement tu l'as pas suivie

Natatouille · Answer

En effet tu as raison, la configuration n'était pas correcte apparemment.
Je le refais immédiatement

natatounette · Answer

voici l'extra
http://cjoint.com/?3KwqoQviUDw 

l'OTL
http://cjoint.com/?3KwqpO771Sj

g3n-h@ckm@n · Answer

une question il te goonfle pas un peu le moteur de recherche Ask avec sa toolbar ?

Natatouille · Answer

oh que si... tu penses que? je supprime!

g3n-h@ckm@n · Answer

lol et tu perds la protection du web d'antivir , il s'est acouplé avec ce truc de mer$e ^^si la toolbar saute , il fonctionne plus mdr !!!

Natatouille · Answer

Cette Toolbar ne s'est installée que depuis 3 jours, par Avira (l'éditeur de Antivir), donc arrivée après que mon problème soit survenu. Je l'ai désactivée mais pas désinstallée. Ici voilà qui est fait, désinstallé. J'espère qu'Antivir ne va pas me la réinstaller encore d'office à l'occasion d'une mise à jour.
Antivir semble être efficace mais qu'est ce qu'il me gonfle avec ses pubs intempestives, ses lenteurs pour cause de lancement et mise à jour à chaque démarrage... parfois je regrette Avast

g3n-h@ckm@n · Answer

sincèrement ? vire antivir et remets avast 100 fois ! 

(ne telecharge uniquement que sur le site de l'editeur , softonic et 01net et telecharger.com repackent les installeurs avec des adwares)

Natatouille · Answer

ok c'est en train de se faire! je viens de redémarrer mon pc suite à la désinstallation de antivir et là... plus aucun souci ne semble se présenter. Tu penses que tout ça: plantage à l'allumage, lenteurs, service sans fil de windows indisponibe, etc serait dû à antivir?
De même j'utilise toujours Syware blaster et Malwarebytes. Suis-je toujours à la page ou y'a t-til mieux?
merci merci merci

g3n-h@ckm@n · Answer

Spywareblaster , bof....

attends avant d'installer avast si ce n'esst fait

Natatouille · Answer

trop tard... pourquoi?

g3n-h@ckm@n · Answer

pas grave on va faire avec desactive la sandbox puis

refais une suppression avec ADWCleaner qu'il te fasse sauter les restes de la ask toolbar  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

natatounette · Answer

# AdwCleaner v2.008 - Rapport créé le 22/11/2012 à 17:48:48
# Mis à jour le 17/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Nathalie - NATHALIE-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Nathalie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZW2XXWGU\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\Nathalie\AppData\Local\APN
Dossier Présent : C:\Users\Nathalie\AppData\Local\Temp\AskSearch
Fichier Présent : C:\Users\Nathalie\AppData\Roaming\Mozilla\Firefox\Profiles\bvc6z8mv.default\searchplugins\Askcom.xml

***** [Registre] *****

Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}
Clé Présente : HKU\S-1-5-21-4043185586-1345029815-884872004-1000\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v16.0.2 (fr)

Nom du profil : default 
Fichier : C:\Users\Nathalie\AppData\Roaming\Mozilla\Firefox\Profiles\bvc6z8mv.default\prefs.js

Présente : user_pref("browser.search.order.1", "Ask.com");
Présente : user_pref("browser.search.selectedEngine", "Ask.com");
Présente : user_pref("browser.startup.homepage", "hxxp://search.avira.com/?l=dis&o=APN10399&gct=hp&dc=EU&locale[...]

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Nathalie\AppData\Local\Google\Chrome\User Data\Default\Preferences

Présente [l.8] : homepage = "hxxp://search.avira.com/?l=dis&o=APN10399&gct=hp&dc=EU&locale=fr_BE",
Présente [l.194] : homepage = "hxxp://search.avira.com/?l=dis&o=APN10399&gct=hp&dc=EU&locale=fr_BE",

*************************

AdwCleaner[R3].txt - [2160 octets] - [22/11/2012 17:48:48]

########## EOF - C:\AdwCleaner[R3].txt - [2220 octets] ##########

natatounette · Answer

rapport de suppression:

# AdwCleaner v2.008 - Rapport créé le 22/11/2012 à 17:50:25
# Mis à jour le 17/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Nathalie - NATHALIE-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Nathalie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZW2XXWGU\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Nathalie\AppData\Local\APN
Dossier Supprimé : C:\Users\Nathalie\AppData\Local\Temp\AskSearch
Fichier Supprimé : C:\Users\Nathalie\AppData\Roaming\Mozilla\Firefox\Profiles\bvc6z8mv.default\searchplugins\Askcom.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v16.0.2 (fr)

Nom du profil : default 
Fichier : C:\Users\Nathalie\AppData\Roaming\Mozilla\Firefox\Profiles\bvc6z8mv.default\prefs.js

Supprimée : user_pref("browser.search.order.1", "Ask.com");
Supprimée : user_pref("browser.search.selectedEngine", "Ask.com");
Supprimée : user_pref("browser.startup.homepage", "hxxp://search.avira.com/?l=dis&o=APN10399&gct=hp&dc=EU&locale[...]

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Nathalie\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.8] : homepage = "hxxp://search.avira.com/?l=dis&o=APN10399&gct=hp&dc=EU&locale=fr_BE",
Supprimée [l.194] : homepage = "hxxp://search.avira.com/?l=dis&o=APN10399&gct=hp&dc=EU&locale=fr_BE",

*************************

AdwCleaner[R3].txt - [2285 octets] - [22/11/2012 17:48:48]
AdwCleaner[S2].txt - [2078 octets] - [22/11/2012 17:50:25]

########## EOF - C:\AdwCleaner[S2].txt - [2138 octets] ##########

g3n-h@ckm@n · Answer

mets malwarebytes à jour et fais un scan complet

natatounette · Answer

Bon, retour du boulot. J'avais mis mon pc en veille, rentrée chez moi, enlevé la veille et là pafffff! de nouveau blocage, ne répond plus, jusqu'au retour de la fameuse fenêtre "kernel_data_error". Mon pc s'est fermé pour éviter d'endommager les registres, bla bla bla
Il se rallume, 1/2 h de plantage avant de pouvoir lancer malwarebyte (c'est en cours).
Je me disais, d'un point de vue logique (mais je n'y connais rien).
Le prob plantage etc semble se produire lorsqu'il recherche le réseau internet.
Soit à l'allumage, soit lors d'un changement de réseau (comme ce soir).
Le tout 1er des symptomes était le fait que le service sans fil windows n'etait pas dispo et que je doive réparer pour qu'il repère le wifi et se connecte... ensuite le reste s'est enchaîné. Est-ce que les saloperies que je me suis chopées n'ont pas endommagé des registres ou des fichiers? Dans ce cas est ce que je ferai pas mieux de remettre le cd windows pour procéder aux réparations?

Enfin ce n'est que supposition, je suis ptêtre tout à fait à côté de la plaque :(

g3n-h@ckm@n · Answer

refais OTL comme precedemment stp

natatouille · Answer

extra
http://cjoint.com/?3KxiYeBvnKU

otl
http://cjoint.com/?3KxiZzeH8X0

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-4043185586-1345029815-884872004-1000\..\SearchScopes\{AC15548D-D15D-4CD8-AFBA-FF49BE2D7BD6}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10399&src=kw&q={searchTerms}&locale=fr_BE&apn_ptnrs=^ABX&apn_dtid=^YYYYYY^YY^B 
FF - prefs.js..extensions.enabledAddons: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}:6.0.33 
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk =  File not found
O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk =  File not found
O4 - Startup: C:\Users\Nathalie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock.lnk =  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33)     
O16 - DPF: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33)     
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)     
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:5C321E34 

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-
"QuickTime Task"=-
"TkBellExe"=-

:Files
C:\Users\Nathalie\AppData\Local\{*

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Natatouille · Answer

j'utilise la même config d'OTL que précédemment?

g3n-h@ckm@n · Answer

non sinon je te l'aurais signalé ^^

Natatouille · Answer

merde ca a planté en pleines corrections. Un 1er rapport s'est affiché, mais j'ai recommencé l'opération

natatouille · Answer

voici
http://cjoint.com/?3Kxk4ym16mQ

g3n-h@ckm@n · Answer

ok

natatouille · Answer

rentrée chez moi, même schéma qu'hier. Mis PC en veille, et retiré de la veille une fois chez moi (changement de réseau). Aucun problème ne s'est produit... je croise les doigts on verra demain, je vais encore changer 2 fois d'endroit, on verra.
Je me doute que t'as autre chose à faire et c'est déjà une grande chance que tu puisses m'aider mais si jamais tu pouvais m'expliquer ce que tu soupçonnes comme souci ou ce que tu as repéré et expliquer les démarches auxquelles tu procèdes pour tenter de m'aider à le résoudre parce que là je n'y comprend rien et j'aime bien savoir. Même si c'est à la fin. Encore merci en tout cas pour tout.

g3n-h@ckm@n · Answer

expliquer les démarches auxquelles tu procèdes pour tenter de m'aider

en fait je ne fais aucune recherche je marche avec ma logique.....

natatouille · Answer

bon ce matin j'avais éteint, je redemarre. Plantage :( "l'instruction au niveau 0X000007FEF9E04145 a fait réf. à l'adresse mémoire 0X000007FEF9E04145. Les données requises n'ont pas été placées en mémoire en raison d'une erreur d'E/S de type 0Xc0000185.

Ensuite un écran bleu avec cette fois le message:
Page_Fault_in_Nonpaged_Area

je pleure

g3n-h@ckm@n · Answer

faudrait controler tes barettes de RAM ou la RAM de la carte graphique

natatouille · Answer

comment procéder?

g3n-h@ckm@n · Answer

tu as installé un logiciel recemment sinon ?

natatouille · Answer

il y a 2 mois j'ai installé Itunes
Et il y a 3 semaines je me suis enfin décidée à entrer le n° de licence de MS office (qui était déjà installé mais en attente de licence) que je n'avais jamais pris la peinde de faire (licence originale, achetée)
Et sinon tout ce que tu m'as indiqué récemment et rien d'autre
je ne joue pas à des jeux, je ne télécharge pas, je regarde juste du stream

g3n-h@ckm@n · Answer

pas de stream pendant la desinfection stp , tant qu'elle est pas terminée tu es vulnerable

natatouille · Answer

non non j'ai tout arrêté, je n'ai pas renouvelé mon abnnement, je ne fais d'ailleurs même plus mes paiements banquaires

Natatouille · Answer

test

natatouille · Answer

ils disent de faire tourner 20 min mais ici ca fait 4h et zéro erreurs. Mem test en est à 160 % de scan

g3n-h@ckm@n · Answer

alors là......

Natatouille · Answer

si un virus était logé dans une mémoire tampon?

g3n-h@ckm@n · Answer

je ne pense pas

Natatouille · Answer

que penses-tu de ça pour réparer les erreurs de windows?
www.registry-scan.org

g3n-h@ckm@n · Answer

c'est zéro  https://www.cjoint.com/?BKzpuTFsuM7
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Natatouille · Answer

ok merci :)

sinon je me suis aperçue que mes drivers n'étaient pas à jour...
je viens de télécharger:
 Ati Radeon HD 2000/3000/4000/Mobility/FireStream (drivers 12.6 WHQL) 
 Intel PROSet/Wireless WiFi Connection Utility (drivers 15.3.1 WHQL) 
 Intel Chipset Device Software (drivers 9.3.0.1026 WHQL) 
Intel Rapid Storage Technology ICH9/ICH10/PCH 5/6/7 (drivers 11.6.0.1030 WHQL) 

Il y en a 4 que je n'ai pas téléchargés car à chaque fois mon PC détectait que je possédais une version + récente et j'ai préféré ne pas écrasé mon éventuelle version + récente au profit de ces versions plus anciennes, je ne sais pas si j'ai bien fait:
Intel Rapid Storage Technology ICH7/ICH9/ICH10/PCH 5/6/7 (drivers 11.2.0.1006 WHQL) 
Intel Rapid Storage Technology ICH9 (drivers 10.8.0.1003 WHQL) 
Intel Rapid Storage Technology ESB2/ICH8 (drivers 10.1.0.1008 WHQL) 
 Intel Turbo Memory Driver (drivers 1.10.0.1012 WHQL) 

Et une que je n'arrive pas à télécharger parce que quand je le fais, un fichier Zip s'ouvre. Ce dossier Zip ne contient que 3 fichiers dont aucun n'est exécutable.
Broadcom NetLink BCM57xx K57 (drivers 15.2.0.4B WHQL) 

lien vers le téléchargement:
https://www.broadcom.com/support/download-search?pf=Ethernet+Controllers

Natatouille · Answer

J'ai trouvé comment télécharger celui Broadcom
dans mon gestionnaire de périphériques
prendre le périphérique concerné
clic droit
j'ai mis à jour en recherchant une mise à jour dans mon PC, là où j'avais enregistré le dossier zip avec le .sys
ça a l'air d'avoir marché...
Maintenant je ne sais pas si tout ça pourra aider à mon prob?

g3n-h@ckm@n · Answer

t'as toujours des plantages ?

Natatouille · Answer

non j'ai redémarré plusieurs fois mais pas de plantages. Par contre mon internet explorer ne fonctionne plus. Je suis sur Mozilla qui fonctionne très bien mais pas d'IE.

g3n-h@ckm@n · Answer

precise ne fonctionne plus ?

Natatouille · Answer

j'arrive à atteindre la page désirée, quelle qu'elle soit, mais une fois sur la page plantage. Obligée de couper le programme qui ne se ferme qu'après de longues minutes d'attente

g3n-h@ckm@n · Answer

desintalle internet explorer dans le panneau de configuration => ajouter/supprimer des elements de windows , puis reinstalle-le en faisant la manip inverse

Natatouille · Answer

je l'ai fait. Il n'est plus dans le panneau de configuration, dans la liste des programmes, mais il est toujours installé sur ma machine. Donc je suis allée voir à la source du programme, clic droit, supprimer: vous avez besoin de l'autorisation de Trusted installer pour désinstaller le programme, donc impossible.

natatouille · Answer

par contre plus aucun plantage d'internet explorer, nickel

g3n-h@ckm@n · Answer

ah ben voila !!

Natatouille · Answer

bob parlé trop vite, explorer replante... il n'a fonctionné qu'une seule fois

g3n-h@ckm@n · Answer

ij te manquerait pas des mises à jour ?

Natatouille · Answer

je ne sais pas. Je vais clore ce sujet si tu le permets, je verrai plus tard pour cet internet explorer. Merci pour toute ton aide.

g3n-h@ckm@n · Answer

re

ok fais le menage

https://gen-hackman.kanak.fr/

Natatouille · Answer

voilà voilà
voici déjà le rapport del fix
# DelFix v6.2 - Rapport créé le 01/12/2012 à 19:28:38
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Nathalie - NATHALIE-PC
# Exécuté depuis : C:\Users\Nathalie\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTL
Supprimé : C:\Users\Nathalie\DoctorWeb

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R3].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\JavaRa.log
Supprimé : C:\Users\Nathalie\Desktop\drweb-cureit.exe
Supprimé : C:\Users\Nathalie\Desktop\OTL.exe
Supprimé : C:\Users\Nathalie\Desktop\Pre_Scan.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKCU\Software\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\IDAVLab

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [979 octets] - [01/12/2012 19:28:38]

########## EOF - C:\DelFix[S1].txt - [1102 octets] ##########

Natatouille · Answer

le rapport slowin killer
https://www.cjoint.com/?0LbtQ0qk10D

Natatouille · Answer

PureRa

Total space cleaned: 9.90 MB

g3n-h@ckm@n · Answer

magnifique :)

Natatouille · Answer

voilà tout est fait
n'hésites pas à me sire s'il y a d'autres choses que je dois faire.
A l'avenir recherche et installation fréquente de mises à jour windows, + des pilotes.
Mise à jour + scans hebdomadaires avec antivirus et antimalware
défragmentation du disque de temps en temps
nettoyages avec cc cleaner

Natatouille · Answer

bon pour mon internet explorer, le fait qu'il ne fonctionne toujours pas, j'ai détecté ceci
ma page de démarrage est bien google
mais ma page de démarrage par défaut est cette ci: https://www.msn.com/nl-be?cobrand=dell.msn.com&OCID=DELLDHP&pc=MDDS&checklang=1
pas moyen de modifier, je mets google, appliquer mais quand je vérifie à nouveau cela est revenu à https://www.msn.com/nl-be?cobrand=dell.msn.com&OCID=DELLDHP&pc=MDDS&checklang=1

g3n-h@ckm@n · Answer

desinstalle bing bar s'il est installé

Natatouille · Answer

il n'est pas trouvable pas mes programmes bien sûr...
Comment puis je le trouver pour le déloger?
peut-être avec ceci?

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

g3n-h@ckm@n · Answer

non s'il etait installé il apparaitrait.

Natatouille · Answer

j'ai réussi à le désinstaller en suivant une procédure indiquée par le site de microsoft. Il fallait désinstaller un programme de microsoft.
Mais entre temps j'ai du télécharger la suite adobe pour le boulot.
Bien que je n'ai coché aucune option de programmes supplémentaires etc Glary toolbar s'est installé. Impossible de le désinstaller via la liste des programmes dans le panneau de configuration. Il buggait en pleine désinstallation. J'ai donc arrêter l'exécution de tbhelper2 qui apparaissait dans le gestionaire de tâches. Et là j'ai pu le désinstaller et effacer manuellement les dossiers restants. 
Puis un petit coup de adw cleaner a nettoyé les restes.
Cependant internet explorer bloque toujours et encore
et dans mozilla j'ai toujours une fenêtre Glary search. Poisse!

Natatouille · Answer

je me suis rendue ici:
C:\Program Files (x86)\Mozilla Firefox\searchplugins
et j'ai supprimé glary, bing, et ce qui me semblait inutile. La fenêtre est partie ca me semble ok pour mozilla

Natatouille · Answer

pour le problème internet explorer, il fonctionne à merveille quand je l'ouvre avec clic droit "exécuter en tant qu'administrateur" mais pas avec le clic simple, ca bugg

g3n-h@ckm@n · Answer

d'autant plus bizarre. . ..

Natatouille · Answer

bon apparemment j"ai 2 internet explorer, dans 2 dossiers différents. Etant sous windows 7 c'est l'horreur pour en supprimer un... il a besoin de l'autorisation de Trusted Installer pour le désinstaller

g3n-h@ckm@n · Answer

heu....dans quels dossiers ???????????

Natatouille · Answer

tous les 2 dans le c:, un dans "programmes files" l'autre dans "programmes". Déjà je trouve ça étrange que j'ai 2 dossiers programmes. Enfin...
Sinon dans le gestionnaire (CTRL ALT DEL) j'ai 2 processus IE qui s'exécutent en même temps à chaque fois.

g3n-h@ckm@n · Answer

en fait c'est normal t'as l'application qui tourne en 32 bits , et l'autre en 64 bits

Natatouille · Answer

ok c'est pas ça qui ralentit mon Explorer? J'ai tout essayé ici, le réinstaleer, etc mais rien à y faire. Il est naze

juju666 · Answer

en même temps c'est un peu la définition d'explorer : navigateur naze

g3n-h@ckm@n · Answer

explorer ou iexplore ?

Natatouille · Answer

Internet explorer

Natatouille · Answer

Je pense avoir repéré le prob.
Le prob est arrivé après la désinfection de mon PC, lorsque j'ai dû installer la suite Adobe. C'est un prob de RAM insuffisante. Cela fait bugger et planter mes programmes. J'ai pourtant 4Go de Ram, cela me semble correct. Cela doit être un souci de mémoire virtuelle ou surutilisation de la mémoire. Qu'en penses-tu?

Natatouille · Answer

Je pense que le souci est dû à un driver d'emulateur utilisé par Daemon Tools

Windows plante à l'allumage et est très lent + PUP

93 réponses

Votre réponse

Newsletters