PC plante au redémarrage quand désinfection (AdwCleaner/Mbam) Résolu/Fermé

Question

Bonjour à tous, 

Configuration: Windows Vista 32 bits Famillial / Firefox 18.0 / ACER Aspire 7530G

J'ai un PC portable que j'utilise de temps en temps et qui est un peu lent. J'ai donc décidé de faire un scan MalewareByte et AdwCleaner. Là, problème. Les deux logiciels détectent des infections (BetterInstaller.exe et BundleInstaller.somoto et d'autres clef de registre douteuses) et me demandent de reboot la machine pour finaliser la suppression. 

Hors, au moment ou le PC reboot et charge le bureau il plante: soit entre le moment où le bureau apparaît et le chargement d'Avast dans la barre en bas à droite, soit à l'écran noir qui suit l'ouverture de session. Et parfois j'ai même une fenêtre qui s'ouvre dans cet écran noir avec: "Définition des paramètres personnalises: Lecteur windows media microsoft". Bref, quand je reboot je n'ai d'autre choix que d'éteindre manuellement et de redémarrer, soit en mode sans échec ou de faire F8 + charger un point de restauration antérieur.

A noter: J'ai aussi fait un bon paquet de Mises à Jour Windows avant d'éteindre le PC le jour d'avant le Bug. (entre temps j'ai restauré le système à l'état antérieur à la MAJ).

Auriez-vous une idée de mon problème, car sans pouvoir efficacement passer mes outils anti-malware je ne sais plus trop quoi faire ?

Merci par avance pour votre aide.

Cordialement,

Martin

PS: Avast, contrairement à AdwCleaner et MalwareByte, ne détecte rien d'anormal, étrange. De plus, je peux me servir du PC si je ne cherche pas à le désinfecter, mais c'est lent.

Utilisateur anonyme · Answer

Bonjour

Poste moi ces deux rapports d'analyse 

Merci

@+

Martin-18 · Answer

Je suis sur un autre PC qui lui n'est pas lent, du coup je relog sur le PC contaminé et je poste ça tout de suite.

Merci !

A tout de suite.

billmaxime · Answer

salut

passe les 2 outils en mode sans échec, et vois ce que ça donne

commence par adwcleaner, puis MBAM et fais 1 scan complet (tous les disques)

avec MBAM

ps: si tu as 1 vieille version d'adwcleaner, lance le et choisis désinstaller

puis retélécharge le 

le lien http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

choisis le mode "suppression"

poste les rapports via 1 copier/coller ou via ce lien https://www.cjoint.com/

pour adwcleaner, le rapport s'affichera sur ton bureau et dans C:\adw[Sx].txt

pour MBAM, le rapport s'affichera sur ton bureau et dans rapport/log de MBAM

n'oublie pas de supprimé "la sélection" avec MBAM

le tuto https://www.donnemoilinfo.com/tuto/Malwarebytes-Anti-Malware/page2.php

@+

Martin-18 · Answer

Rapport AdwCleaner https://www.cjoint.com/?0CfkqOeLiyn

Rapport du dernier Bootscan d'Avast https://www.cjoint.com/?0CfksBZ0xmx 

Par contre comme j'ai chargé un point de restauration antérieur mon rapport MalewareByte dans lequel on voit BetterInstaller.exe et BundleInstaller.Somoto n'existe plus, ni même l'installation de MalwareByte qui a été effacée.

A bientôt

Utilisateur anonyme · Answer

bonjour,

ADWC n'est pas à jour !

 AdwCleaner v2.113 - Rapport créé le 04/03/2013 à 23:01:16

Utilisateur anonyme · Answer

Re 

Comme mentionné au dessus par Electricien69 ;que je salue au passage 
tu ne disposes pas de la dernière version d' Adwcleaner 
Fait le nécessaire et supprime tout ce qu'il trouve 
Poste moi ce nouveau rapport 


Pour Malwaresbytes ;on verra plus tard 

@+ 
  
           --------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

Martin-18 · Answer

Nouveau scan ADWC : https://www.cjoint.com/?0CfkFUCDwV7 version 2.114

(le scan d'adw cleaner est assez long sur ma machine, bizarre. Ha oui, je repense à quelquechose qui n'est peut-être pas important mais je le dis quand même: Quand j'ai fait le scan avec ma version obsolète d'ADWC hier, l'accès au bloc note m'a été refusé plusieurs fois avant qu'enfin le rapport puisse s'afficher)

Merci à vous tous !

Utilisateur anonyme · Answer

Re

Passe à l'option suppression et poste ce nouveau rapport

Merci

@+

Martin-18 · Answer

Voilà la bête: https://www.cjoint.com/?0CfkXdF9lrN 

(désolé pour le temps d'attente, la machine est assez lente pour reboot etc.)

A tout de suite !

Utilisateur anonyme · Answer

Re

Maintenant avant tout autre chose tu mets Windows à jour via Windows Update

Le pack SP2 de Vista

Tiens moi au courant;merci

@+

Martin-18 · Answer

Ok, mais Windows Update ne me propose pas le SP2. Comment puis-je le trouver ?

Merci encore pour le temps que tu m'accordes.

Martin-18 · Answer

Re,

Le Sp2 est enfin installé !

Que me conseilles-tu à présent ?

A tout de suite.

Utilisateur anonyme · Answer

Re

Installe Malwaresbytes ;met le à jour et lance une analyse rapide mais pour le moment ne supprime rien
Poste moi ce rapport 
 

@+

Martin-18 · Answer

Voici le lien MBAM : https://www.cjoint.com/?3Cfp4Ua5ttg 

1 élément détecté, étrange avant il y en avait un deuxième caché dans les fichiers temporaires.

@+

Utilisateur anonyme · Answer

Re

1) Supprime cette détection de Malwaresbytes

Ensuite

Pour vérifications, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, 

Double-clique sur l'icône pour lancer le programme.  Sous Vista ; Seven ou Windows 8 clic droit «  exécuter en tant que administrateur » 

Clique sur  la loupe   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien: 
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload 
 https://www.cjoint.com/


Regarde sur le bureau
 
Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci


@+

Martin-18 · Answer

J'ai supprimé la sélection, mais dois-je laisser MBAM redémarrer le PC, car les fois précédentes où j'ai fait ça le PC buggait et je devais restaurer sur un point antérieur ?

Merci pour ton aide.

Martin-18 · Answer

Re, je post d'un autre PC car le portable est planté sur le bureau. Je peux bouger ma souris, quand je survole les icônes elles passent en surbrillance mais rien ne répond et Avast n'est pas encore chargé. Aussi l'heure ne défile plus et quand je passe la souris sur la barre du bas le "rond de recherche" remplace le pointeur.

Je fais une restauration juste avant le scan de MBAM ?

A tout de suite.

Martin-18 · Answer

Re,

Voici le lien ZHPDiag : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130305_b12j5x10p8c6


Merci

@+

Utilisateur anonyme · Answer

Re

1)Désinstalle Ad aware et préfère lui Malwaresbytes

 2)[*] Télécharger sur le bureau RogueKiller (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport


@+

Martin-18 · Answer

RogueKiller V8.5.2 [Feb 23 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : V [Droits d'admin] Mode : Recherche -- Date : 05/03/2013 18:00:18 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 4 ¤¤¤ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS543232L9A SCSI Disk Device +++++ --- User --- [MBR] 07fb284920b9b54d07005a10965e23a5 [BSP] 2261aa9994c701029dfbd29ecc33844f : Acer MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20973568 | Size: 147501 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 323055616 | Size: 147502 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1]_S_05032013_180018.txt >> RKreport[1]_S_05032013_180018.txt

Utilisateur anonyme · Answer

Re

Relance Roguekiller option suppression et poste moi son rapport

Merci

@+

Martin-18 · Answer

RogueKiller V8.5.2 [Feb 23 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : V [Droits d'admin] Mode : Suppression -- Date : 05/03/2013 18:38:16 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 4 ¤¤¤ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> REMPLACÉ (1) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS543232L9A SCSI Disk Device +++++ --- User --- [MBR] 07fb284920b9b54d07005a10965e23a5 [BSP] 2261aa9994c701029dfbd29ecc33844f : Acer MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20973568 | Size: 147501 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 323055616 | Size: 147502 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2]_D_05032013_183816.txt >> RKreport[1]_S_05032013_180018.txt ; RKreport[2]_D_05032013_183816.txt Voilà, merci encore pour ton aide.

Utilisateur anonyme · Answer

Re

Poste moi un nouveau rapport ZHPDiag;merci

@+

Martin-18 · Answer

Le voici: https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130305_x10q15z12k12n9

@+

Utilisateur anonyme · Answer

Re

Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
-------------------------------------------------------------------------------------------------


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\ilivid] 
P2 - FPN: [HKLM] [@pandonetworks.com/PandoWebPlugin] - (.Pando Networks - Pando Web Plugin.) -- C:\Program Files\Pando Networks\Media Booster
pPandoWebPlugin.dll 
P2 - FPN: [HKCU] [pandonetworks.com/PandoWebPlugin] - (.Pando Networks - Pando Web Plugin.) -- C:\Program Files\Pando Networks\Media Booster
pPandoWebPlugin.dll 
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Pando Networks - Pando Web Plugin.) (No version) -- (.not file.)     
O4 - HKLM\..\Run: [eRecoveryService] Clé orpheline 
O4 - GS\Desktop: 1-Identité sub - Raccourci.lnk . (...)  -- G:\Straight Edge\1-Identité sub.doc  (.not file.) 
O4 - GS\Desktop: Straight Edge - Raccourci.lnk - Clé orpheline 
[MD5.00000000000000000000000000000000] [APT] [Ad-Aware Update (Weekly)] (...) -- C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (.not file.)     
O41 - Driver: (SBRE) . (. - .) - C:\Windows\system32\drivers\SBREdrv.sys (.not file.) 
O43 - CFD: 05/03/2013 - 17:50:58 - [0,296] ----D C:\ProgramData\Ad-Aware Browsing Protection     
O43 - CFD: 02/03/2013 - 19:35:54 - [0] ----D C:\Users\Vincent BEDU\AppData\Local\TempDIR(45) 
O43 - CFD: 24/09/2009 - 23:13:15 - [0,036] ----D C:\Users\Vincent BEDU\AppData\Roaming	eamspeak2     
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (Bing) - https://www.bing.com/?scope=web&mkt=fr-FR{searchTerms}&src=IE-SearchBox&FORM=IE8SRC     
[HKLM\Software\Classes\TypeLib\{C31103D1-E584-4880-B1D3-6B1DF6FBDE22}]     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]     
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]     

FirewallRAZ
Emptytemp
EmptyCLSID


--------------------------------------------------------------------------------------------
* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur) 

* Clique sur l'icone représentant le presse-papier ("coller le presse-papier") 
le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) 
* Clique sur le bouton GO pour lancer le nettoyage 
* Copie/colle la totalité du rapport dans ta prochaine réponse.

-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 



@+

Martin-18 · Answer

Re, 

Voici le résultat: https://www.cjoint.com/?3CftWYwdpY5 

Merci

@+

Utilisateur anonyme · Answer

Re

Arrête ton PC
Patiente un peu

Démarre le à nouveau

Il existe la version 8 d'Avast

@+

Utilisateur anonyme · Answer

Bonjour

Si tu as bien installé Avast 8 ;met le à jour et lance une analyse complète de ton PC et poste moi ensuite son rapport

Merci

@+

Martin-18 · Answer

Salut,

Le scan log est vierge.

@+

Utilisateur anonyme · Answer

Re

Ton PC présente t' il encore des problèmes?

@+

Martin-18 · Answer

Re,

Pour le moment il a l'air normal mais je n'ai pas encore réessayé de passer Malewarebyte qui me faisait planter sur le bureau au redémarrage.

Est-ce que je dois retenter un scan MalewareByte pour être fixé ?

Merci encore.

@+

PS: Windows update vient de trouver tout un tas de mises à jour de sécurité à faire et leur téléchargement est en route.

Utilisateur anonyme · Answer

Re

procède à ces mises à jour.

Si tu veux être rassuré
Met à jour Malwaresbytes et lance une analyse rapide
poste moi son rapport.

@+

Martin-18 · Answer

Très bien des que les maj sont effectuées je relance la maj Malwaresbytes + scan rapide.

A tout de suite.

Martin-18 · Answer

Le log MBAM est vierge aussi, plus aucun nuisible détecté !

Ça a l'air d'être bon à présent.

Merci beaucoup pour ton aide et ton temps c'est vraiment sympa :)

Utilisateur anonyme · Answer

Re

1) Vide la quarantaine de Malwaresbytes

2) Télécharge DelFix de Xplode

Lance le.
* A l'invite par défaut,  [Supprimer les outils de désinfection]  
Le rapport se trouve ici généralement
C:\DelFix.txt 

3)Tu disposes de Ccleaner;met le à jour et lance avec ces réglages
.double-cliques ou clic droit sous Vista ;Seven et Windows 8 sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et une fois fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.

3)Purge la restauration sur Vista.
Comment faire :

https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


@+

Martin-18 · Answer

Manip effectuée !

Merci encore.

Utilisateur anonyme · Answer

Re

Je te propose donc de mettre ce sujet en résolu

@+