de 40 à 90% utilisation de l'UC

Question

Bonjour, 

j'ai téléchargé par faute un executable qui s'était confortablement installé dans mon pc et  propagé des virus.. De puis ce moment, l'utilisation de mon UC s'etait augmenté de 0% - 9 % à 40%- 90% et chaque fois que je demarre le systeme mon pc chauffe et s'arrete soudainement.
J'ai exécuté un examen Smart Care avec WinZip system utilities, j'ai installe Microsoft Security Essentials, J'ai effectué plusieurs examens avec MalwareBytes, UnHackMe....., il ont tous détecté la présence de logiciels malveillants et ils l'ont supprimé, mais en vain!
Comme un petit essai pour optimiser l'utilisation de l'uc, j'ai utilisé JetBoost mais ca marche pas.
J'ai effectué un test sur les fichiers sstéme en utilisant la commande sfc /scannow sur cmd et voila les résultats: https://textup.fr/65812wh
J'ai besoin de l'aide et Merci.

Configuration: Windows 7 / Chrome 26.0.1410.64

g3n-h@ckm@n · Accepted Answer

tu le lances bien avec le clic droit "en tant qu'administrateur" ?

g3n-h@ckm@n · Answer

salut le rapport de malwarebytes please

seif_tounes · Answer

ok :)

seif_tounes · Answer

Malheureusement j'ai deja effectué un examen complet, hier, et MBAM a supprimé les virus mais j'ai suppirmé le rapport ( log ) et aujourd'hui quand j'ai effectué un nouvel examen MBAM n'a détecté qu'un seul virus voila le rapport
Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.07.15.04

Windows 7 Service Pack 1 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 10.0.9200.16521
TOSHIBA :: SEIF-B3 [administrateur]

Protection: Désactivé

19/07/2013 14:27:22
MBAM-log-2013-07-19 (19-01-24).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 1219386
Temps écoulé: 4 heure(s), 27 minute(s), 31 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
c:\windows.old\windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_8.0.7601.17514_none_abfb5733271ca1ff\inetcpl.cpl (Spyware.Passwords) -> Aucune action effectuée.

(fin)

seif_tounes · Answer

Ettt voila! quand j'ai redemarré mbam m'a détecté que dllhost.exe est un trojan qui peut m'expliquer ça :/
2013/07/19 19:13:53 +0100	SEIF-B3	TOSHIBA	MESSAGE	Starting protection
2013/07/19 19:13:53 +0100	SEIF-B3	TOSHIBA	MESSAGE	Protection started successfully
2013/07/19 19:13:53 +0100	SEIF-B3	TOSHIBA	MESSAGE	Starting IP protection
2013/07/19 19:13:56 +0100	SEIF-B3	TOSHIBA	MESSAGE	IP Protection started successfully
2013/07/19 19:14:54 +0100	SEIF-B3	TOSHIBA	DETECTION	C:\Users\TOSHIBA\AppData\Temp\dllhost.exe	Trojan.Downloader.FC	QUARANTINE

g3n-h@ckm@n · Answer

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

seif_tounes · Answer

J'ai lancé l'outil, au debut, un message d'erreur dont je ne me rappelle pas de son contenu apparait, puis vers la fin, un autre message apparait ' Error allocating memory' ,  la fenetre de l'outil se ferme quand je clicque sur ok et je ne vois que l'arriére plan du bureau alors j'ai redemarré manuellement le pc ( j'ai pas suivi la derniére étape :/ )

seif_tounes · Answer

le résultat du scan https://textup.fr/65914uW

g3n-h@ckm@n · Answer

j'aimerais bien que tu utilises l'hébergeur que je te demande et non un autre 

==

 Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\system32\Drivers\IsPubDrv.sys

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

g3n-h@ckm@n · Answer

relance l'outil , clique sur diag , puis heberge c:\pre_diag_xx_xx_xx.txt sur https://www.cjoint.com/ et donne le lien

seif_tounes · Answer

Je peux pas accéder a cjoint.com :/

g3n-h@ckm@n · Answer

précise ?

seif_tounes · Answer

Ah c bon :D c'est parce que j'utilise une extension sur chrome nommée WebFilterPro pour la protection contre les Menaces de sécurité. Quand je l'ai désactivé j'ai pu accéder à cjoint.com

g3n-h@ckm@n · Answer

ben elle est bidon ton extension , cjoint.com n'est pas malveillant du tout

g3n-h@ckm@n · Answer

ok j'attends la suite :)

seif_tounes · Answer

https://www.cjoint.com/c/CGtxKtEfd3q

g3n-h@ckm@n · Answer

Télécharge et enregistre (lien direct) ADWCleaner sur ton bureau :

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

seif_tounes · Answer

Oups, j'ai oublié d'ouvrir en tant qu'admin que faire ? :/

g3n-h@ckm@n · Answer

poste le rapport , puis refais en tant qu'admin

seif_tounes · Answer

Voila le log sans admin https://www.cjoint.com/c/CGuam21w5iT
Je vais poster le log en tant qu'admin attends

seif_tounes · Answer

https://www.cjoint.com/c/CGuawMn9Oni

g3n-h@ckm@n · Answer

ok refais un diag , et la suite demain je suis crevé je vais dormir

seif_tounes · Answer

ok

seif_tounes · Answer

https://www.cjoint.com/c/CGubakcHsgu

g3n-h@ckm@n · Answer

ok salut

repasse une suppression avec adwcleaner en mode sans echec il a pas pu tout virer en mode normal

seif_tounes · Answer

https://www.cjoint.com/c/CGupnsMc8bL

g3n-h@ckm@n · Answer

sélectionne ce texte , puid CTRL + C :

Kill::

Key::
[HKU\S-1-5-21-986038249-568271772-559393167-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[Service] 
[HKU\S-1-5-21-986038249-568271772-559393167-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[WinZip System Utilities Suite - Memory Optimizer]
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WebCake Desktop] 
[HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{47AE1BA9-0BD1-44F4-88AE-45F8F7B605EF}]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110211971101}]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110211971101}] 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{31111111-1111-1111-1111-110211971101}]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7825CFB6-490A-436B-9F26-4A7B5CFC01A9}]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E4A7AAC3-D9C2-4D61-8892-5DD64B6F2078}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7825CFB6-490A-436B-9F26-4A7B5CFC01A9}]     
[HKU\S-1-5-21-986038249-568271772-559393167-1000\Software\DealPlyLive] 
[HKU\S-1-5-21-986038249-568271772-559393167-1000\Software
j-RAT] 
[HKU\S-1-5-21-986038249-568271772-559393167-1000\Software\SpeedyPC Software] 
[HKU\S-1-5-21-986038249-568271772-559393167-1000\Software\SweetIM] 
[HKLM\Software\AskTBar]     
[HKLM\Software\Object]     
[HKLM\Software\SpeedyPC Software] 
[HKLM\Software\SweetIM] 
[HKLM\Software\Trymedia Systems]     
[HKLM\Software\VBMZ]     
[HKLM\Software\WinWSD ToolBar] 


File|Fold::
C:\Users\TOSHIBA\AppData\Local\Google\Chrome\User Data\Default\Extensions\cloikdolicapcipfoncopeialjfhabgf     
C:\Users\TOSHIBA\AppData\Local\Google\Chrome\User Data\Default\Extensions\hahpjplbmicfkmoccokbjejahjjpnena     
C:\Users\TOSHIBA\AppData\Roaming\Mozilla\Firefox\Profiles\o9bvzaya.default\searchplugins\alnaddyToolbar.xml     
C:\Users\TOSHIBA\AppData\Roaming\Mozilla\Firefox\Profiles\o9bvzaya.default\searchplugins\online-sharing-customized-web-search.xml 
C:\Users\TOSHIBA\AppData\Roaming\Mozilla\Firefox\Profiles\o9bvzaya.default\searchplugins\visualbee.xml     
C:\Windows\471D8B37C5B344579FA1B3C693334F4F.TMP 
C:\Windows\system32\Drivers\48230029.sys 
C:\RUNDLL32.EX_ 
C:\Windows.old 
C:\Windows\E904680936B24A99AD7FC0C16AD773EC.TMP 
C:\Windows\7ec76bc4-9eab-4c15-85d2-0731c05e085a.ocx 
C:\Windows\winstart.bat     
C:\Windows\All Users 
C:\Users\TOSHIBA\autorun.inf 
C:\Users\TOSHIBA\AppData\Roaming\C__User*
C:\Users\TOSHIBA\AppData\Roaming\SpeedyPC Software 
C:\ProgramData\C__User*
C:\ProgramData\SpeedyPC Software 
C:\ProgramData\3b2c3a3242304a_c 
C:\Program Files\Cr*
C:\Windows\System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2012         
C:\Windows\System32\Tasks\YourFile Update         
C:\Windows\System32\Tasks\Express FilesUpdate 
C:\Windows\System32\Tasks\4703         
C:\Windows\System32\Tasks\VisualBee-enabler  
C:\Windows\System32\Drivers\jbvvvdvy.sys 
C:\Windows\system32\ee1ab761-b319-46ff-ae85-5343b1c66d9d.dll 

Driver::
PROCEXP152
X6EX_PR143
X6XSEX_PR143

Clean::

MBR::

Reboot:: 

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

seif_tounes · Answer

J'ai trouvé pre_script dans C: in n'existe pas sur le bureau :/
https://www.cjoint.com/c/CGuqHPvaWfP

g3n-h@ckm@n · Answer

mmmmm il manque la fin.....

seif_tounes · Answer

dsl quand la fenetre de prescan s'est fermé j'ai atendu 5 minutes avec impatience et vu que le pc ne reboot pas je l'ai menuellment rebooté

g3n-h@ckm@n · Answer

t'aurais pas oublié de desactiver protection ou autre ?

g3n-h@ckm@n · Answer

supprime le rapport dans c:\ et refais e en mode sans echec sans prise en charge reseau

seif_tounes · Answer

ok

seif_tounes · Answer

https://www.cjoint.com/c/CGurhmyAFoE
La fenetre de pre scan se ferme au niveau de C:\Users\TOSHIBA\AppData\Roaming\SpeedyPC Software

g3n-h@ckm@n · Answer

il devrait redemarrer tout seul....du moins je l'ai programmé pour ca ^^

g3n-h@ckm@n · Answer

ok on va passer par un autre puisque celui-ci ne veut pas passer

==

 Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*. 
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
dir C:\ /S /A:L /C 
msconfig 
activex 
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

seif_tounes · Answer

http://cjoint.com/?CGurR4XL2f3
https://www.cjoint.com/c/CGurRYeUVcI

g3n-h@ckm@n · Answer

si RegRun est installé vire-le
desinstalle tuneup il fracasse pluss le systeme uq'autre chose
vire tous ces accelerateurs de rien du tout 

==

 ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
safari.exe
opera.exe
rundll32.exe

:Services
PROCEXP152
X6EX_PR143
X6XSEX_PR143 

:OTL
SRV - File not found [Auto | Stopped] --  -- (ToolkitSvc) 
FF - user.js - File not found
CHR - homepage: http://search.b1.org/?bsrc=hmcor&chid=c162341 
CHR - homepage: http://search.b1.org/?bsrc=hmcor&chid=c162341 
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\S-1-5-21-986038249-568271772-559393167-1000\..\Run: [Service] C:\Users\TOSHIBA\AppData\Temp\dllhost.exe File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-21-986038249-568271772-559393167-1000\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-21-986038249-568271772-559393167-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ClearRecentDocsOnExit = 1     
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.6.2.cab (Reg Error: Key error.)
O33 - MountPoints2\{68e73e52-5b51-11e2-b3c5-806e6f6e6963}\Shell - "" = AutoRun 
O33 - MountPoints2\{68e7413e-5b51-11e2-b3c5-001e101f82a0}\Shell - "" = AutoRun 
O33 - MountPoints2\{a8ed3a4a-dc36-11e2-ad97-d0df9adb39cc}\Shell - "" = AutoRun 
O33 - MountPoints2\{b277ea58-df35-11e2-86d7-d0df9adb39cc}\Shell - "" = AutoRun 
O33 - MountPoints2\{b277ea5b-df35-11e2-86d7-d0df9adb39cc}\Shell - "" = AutoRun 
O33 - MountPoints2\{bbd59385-e0a8-11e2-8845-3860774a3b22}\Shell - "" = AutoRun 
O33 - MountPoints2\{c779ee87-5c1d-11e2-abf4-3860774a3b22}\Shell - "" = AutoRun 
O33 - MountPoints2\{e122ff1e-1054-11e2-84fa-001e101f859f}\Shell - "" = AutoRun 
O33 - MountPoints2\G\Shell - "" = AutoRun 
O33 - MountPoints2\J\Shell - "" = AutoRun 
O34 - HKLM BootExecute: (Partizan) 
O34 - HKLM BootExecute: (ootExecute settings...) 
O34 - HKLM BootExecute: (OUNT) 
[10 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ] 
[1 C:\Users\TOSHIBA\AppData\Local\*.tmp files -> C:\Users\TOSHIBA\AppData\Local\*.tmp -> ] 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WinZip System Utilities Suite - Memory Optimizer"=-
[-HKEY_CURRENT_USER\Software\DealPlyLive] 
[-HKEY_CURRENT_USER\Software\Microsof] 
[-HKEY_CURRENT_USER\Software
j-RAT] 
[-HKU\S-1-5-21-986038249-568271772-559393167-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[Service]
[-HKU\S-1-5-21-986038249-568271772-559393167-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[WinZip System Utilities Suite - Memory Optimizer]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WebCake Desktop]
[-HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{47AE1BA9-0BD1-44F4-88AE-45F8F7B605EF}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110211971101}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110211971101}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{31111111-1111-1111-1111-110211971101}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7825CFB6-490A-436B-9F26-4A7B5CFC01A9}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E4A7AAC3-D9C2-4D61-8892-5DD64B6F2078}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7825CFB6-490A-436B-9F26-4A7B5CFC01A9}]
[-HKU\S-1-5-21-986038249-568271772-559393167-1000\Software\DealPlyLive]
[-HKU\S-1-5-21-986038249-568271772-559393167-1000\Software
j-RAT]
[-HKU\S-1-5-21-986038249-568271772-559393167-1000\Software\SpeedyPC Software]
[-HKU\S-1-5-21-986038249-568271772-559393167-1000\Software\SweetIM]
[-HKLM\Software\AskTBar]
[-HKLM\Software\Object]
[-HKLM\Software\SpeedyPC Software]
[-HKLM\Software\SweetIM]
[-HKLM\Software\Trymedia Systems]
[-HKLM\Software\VBMZ]
[-HKLM\Software\WinWSD ToolBar] 

:Files
C:\Users\TOSHIBA\AppData\Roaming\C__User*  
C:\Users\TOSHIBA\AppData\Roaming\SpeedyPC Software
C:\ProgramData\C__User*
C:\ProgramData\SpeedyPC Software
C:\ProgramData\3b2c3a3242304a_c
C:\Program Files\Cr*
C:\Windows\System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2012
C:\Windows\System32\Tasks\YourFile Update
C:\Windows\System32\Tasks\Express FilesUpdate
C:\Windows\System32\Tasks\4703
C:\Windows\System32\Tasks\VisualBee-enabler
C:\Windows\System32\Drivers\jbvvvdvy.sys
C:\Windows\system32\ee1ab761-b319-46ff-ae85-5343b1c66d9d.dll 
C:\Windows\System32\RegRun 
C:\Windows	asks\VisualBee-enabler.job 
C:\ProgramData\mxnhytee.feu 
C:\ProgramData\log     
C:\ProgramData\sa 
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*

:commands
[emptytemp]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

seif_tounes · Answer

tuneup utilities n'est pas installé sur mon systeme

g3n-h@ckm@n · Answer

ok c'est un reste la suite

seif_tounes · Answer

OTL ne répond pas, j'ai désactivé l'antivirus et executé en tant quadmin, jel l'ai executé en mode sans échec, mais il ne répond toujours pas :S 
Solution?

g3n-h@ckm@n · Answer

oui laisse tourner il travaille dans le fond

seif_tounes · Answer

Ça prend beaucoup de temps, plus que 3 heures et OTL ne repond toujours pas

seif_tounes · Answer

Oui bien sur, il est jusqu'à maintenant en cours

g3n-h@ckm@n · Answer

laisse tomber


/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

Desactive tes protections : https://forum.pcastuces.com/default.asp

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix : 

Utilise Defogger pour désactiver temporairement les logiciels d'emulation :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le : clique sur "Disable" et fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

&#9654 !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

&#9654 n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

seif_tounes · Answer

https://www.cjoint.com/c/CGvpOQnLxk3

g3n-h@ckm@n · Answer

tu ne suis pas les indications , je t'avais demandé à ce qu il soit renommé et t'as rien desactivé comme protections

si ta machine plante tant pis pour toi
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

seif_tounes · Answer

Qu'est ce que je vais faire maintenant

g3n-h@ckm@n · Answer

renommer c'etait cette partie

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

seif_tounes · Answer

Alors je refais le travail a partir de cette partie?

g3n-h@ckm@n · Answer

oui

seif_tounes · Answer

https://www.cjoint.com/c/CGvxCae57Bt

g3n-h@ckm@n · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

ClearJavaCache::

File::
c:\users\TOSHIBA\AppData\Local\TempradC6E79.tmp
c:\windows\Stop.cmd

Folder::
c:\windows\system32\RegRun
C:\@RestoreQuarantine

Rootkit::
c:\windows\system32\drivers\jbvvvdvy.sys

RegLock::
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.download\UserChoice]
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.safariextz\UserChoice]
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.svg\UserChoice]
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.webarchive\UserChoice]
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xml\UserChoice]
[HKEY_USERS\S-1-5-21-986038249-568271772-559393167-1000\Software\Microsoft\Notification de cadeaux MSN]
[HKEY_USERS\S-1-5-21-986038249-568271772-559393167-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
[HKEY_USERS\S-1-5-21-986038249-568271772-559393167-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
[HKEY_USERS\S-1-5-21-986038249-568271772-559393167-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.svg\UserChoice]
[HKEY_USERS\S-1-5-21-986038249-568271772-559393167-1000_Classes\CLSID\{61f40076-da83-4e99-aeed-0a98328fd38d}]
[HKEY_USERS\S-1-5-21-986038249-568271772-559393167-1000_Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\PCW\Security]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

seif_tounes · Answer

le combofix que j'ai renommé?

g3n-h@ckm@n · Answer

ouaip'

seif_tounes · Answer

oh my god j'ai utilisé combofix l'original :/ à cause de ma impatience >.<
https://www.cjoint.com/c/CGwanvaahJX

seif_tounes · Answer

j le fais une autre fois avec le combo  fox que j'ai renommé?

g3n-h@ckm@n · Answer

nan c'est bon il est passé

des soucis persistent ?

seif_tounes · Answer

On a terminé la désinfection?

g3n-h@ckm@n · Answer

refais ca avec OTL et réponds à ma question

https://forums.commentcamarche.net/forum/affich-28283548-de-40-a-90-utilisation-de-l-uc?full#41

seif_tounes · Answer

L'état de mon pc s'est beacoup bien amélioré, mais seulement une chose, quand je joue a métin (jeu) l'utilisation de l'uc augmente beaucoup malgrais que c'est un jeu de 1go seulement pas grand chose :/

seif_tounes · Answer

http://cjoint.com/?CGwsMDfRG7Y
https://www.cjoint.com/c/CGwsMBEM7cB

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
Rundll32.exe

:OTL
DRV - File not found [Kernel | Boot | Unknown] -- system32\drivers\Partizan.sys -- (Partizan)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\SystemRoot\SystemRoot\system32\drivers\mfeapfk.sys -- (mfeapfk)
IE - HKU\S-1-5-21-986038249-568271772-559393167-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}     
FF - user.js - File not found
CHR - homepage: http://search.b1.org/?bsrc=hmcor&chid=c162341 
CHR - homepage: http://search.b1.org/?bsrc=hmcor&chid=c162341 
CHR - Extension: No name found = C:\Users\TOSHIBA\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbjlipmgfoamgjaogmbihaffnpkpjajp\1.0.0.130\      
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
[1 C:\Users\TOSHIBA\AppData\Local\*.tmp files -> C:\Users\TOSHIBA\AppData\Local\*.tmp -> ] 

:Reg
[-HKEY_CURRENT_USER\Software\DealPlyLive] 
[-HKEY_CURRENT_USER\Software\Netscouttoolbar] 
[-HKEY_CURRENT_USER\Software\SpeedyPC Software] 
[-HKEY_CURRENT_USER\Software\SweetIM] 
[-HKEY_LOCAL_MACHINE\Software\Object]     
[-HKEY_LOCAL_MACHINE\Software\SpeedyPC Software] 
[-HKEY_LOCAL_MACHINE\Software\SweetIM] 
[-HKEY_LOCAL_MACHINE\Software\Trymedia Systems]     
[-HKEY_LOCAL_MACHINE\Software\VBMZ]     
[-HKEY_LOCAL_MACHINE\Software\Vittalia]     
[-HKEY_LOCAL_MACHINE\Software\WinWSD ToolBar] 

:Files
c:\windows\Stop.cmd   
c:\windows\system32\drivers\jbvvvdvy.sys
C:\Users\TOSHIBA\Documents\RegRun2 
C:\Users\TOSHIBA\Documents\PCSU_Update.exe 
C:\Users\TOSHIBA\AppData\Roaming\C__Us*
C:\ProgramData\mxnhytee.feu 
C:\ProgramData\log     
C:\ProgramData\SpeedyPC Software 
C:\Program Files\Cra*
C:\Program Files\TuneUp Utilities 2012 
C:\Windows\system32\Tasks\0 
C:\Windows\system32\Tasks\4703 
C:\Windows\system32\Tasks\AllmyappsUpdateTask 
C:\Windows\system32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2012 
C:\Windows\system32\Tasks\YourFile Update 
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*
@Alternate Data Stream - 1172 bytes -> C:\Windows\System32\drivers\jbvvvdvy.sys:changelist 

:commands
[emptytemp]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

seif_tounes · Answer

http://cjoint.com/?CGwvWJmvW1r

g3n-h@ckm@n · Answer

bien qu'en dit ton uc maintenant ?

seif_tounes · Answer

Merci beacoup :DDD l'utilisation de l'uc est maintenant entre 0 et 9% ! Génial!

g3n-h@ckm@n · Answer

on peut faire le menage

https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

seif_tounes · Answer

oké :)

De 40 à 90% utilisation de l'UC - Page 2

Discussions similaires

Newsletters