Bubble dock et Storm Alert : Monstres infections

Bjr Malekal

Ton lien de telechargement de RST m'inquiète. Je tombe sur des pages bizarres en cliquant sur Download.

Ca doit être les infections qui provoquent des redirections.
C'est embettant.

Lien direct : http://download.bleepingcomputer.com/dl/d790d11b288a8f4666e5378cb70c014d/5488bac4/windows/security/security-utilities/f/farbar-recovery-scan-tool/32/FRST.exe
http://download.bleepingcomputer.com/dl/83ac2bb21a940aed07eb4d8949d0d791/5488bae6/windows/security/security-utilities/f/farbar-recovery-scan-tool/64/FRST64.exe

En anglais, je crois comprendre que la version est non compatible, grrrrrrrrrrrr

Je ne l'utilise pas Chrome Malekal, mais Firefox.
Je fais donc ce que tu dis, mais sur Firefox.

Bjr Malekal

J'ai procédé comme tu as dit, à savoir télécharger FRST à partir d'un autre PC.

https://www.cjoint.com/c/DLliw6h7OWf

https://www.cjoint.com/c/DLlizuOwnpG

https://www.cjoint.com/c/DLliATQZLsy

Dans les processus, j'en remarque des "bizarres".
J'ai anticipé en faisant un scann avec RogueKiller.
Ai je bien fait. Si ce n'est pas le cas, tu me grondes :))

"""""""""""""""""""""""

RogueKiller V10.0.9.0 [Dec 8 2014] par Adlice Software
email : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site web : https://www.adlice.com/fr/roguekiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en : Mode normal
Utilisateur : mamoune [Administrateur]
Mode : Scan -- Date : 12/11/2014 08:37:24

¤¤¤ Processus : 1 ¤¤¤
[Suspicious.Path] VULDGMaBwd.exe -- C:\ProgramData\DrJUWOR\VULDGMaBwd.exe[7] -> Tué(e) [TermProc]

¤¤¤ Registre : 7 ¤¤¤
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VULDGMaBwd ("C:\ProgramData\DrJUWOR\VULDGMaBwd.exe") -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\VULDGMaBwd ("C:\ProgramData\DrJUWOR\VULDGMaBwd.exe") -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet003\Services\VULDGMaBwd ("C:\ProgramData\DrJUWOR\VULDGMaBwd.exe") -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trouvé(e)

¤¤¤ Tâches : 1 ¤¤¤
[Suspicious.Path] \Microsoft\Windows\Media Center\PeriodicScanRetry -- %windir%\ehome\MCUpdate.exe (-pscn 0) -> Trouvé(e)

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 2 (Driver: Non chargé [0xc000036b]) ¤¤¤
[IAT:Inl] (firefox.exe) WS2_32.dll - WSARecv : Unknown @ 0x45025620 (jmp 0xffffffffcecee597)
[IAT:Inl] (firefox.exe) nss3.dll - PL_strfree : Unknown @ 0x168274 (jmp dword near [0x671973d0])

¤¤¤ Navigateurs web : 1 ¤¤¤
[PUM.HomePage][FIREFX:Config] qx0377ym.default-1418244002960 : user_pref("browser.startup.homepage", "https://www.ledauphine.com/haute-savoie"); -> Trouvé(e)

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3265GSX +++++
--- User ---
[MBR] 11b90506a6499dd759475632b08369fc
[BSP] 0e1b9e3cf654206fb8eb1f3aa86e36dd : HP MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 24578048 | Size: 100 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 24782848 | Size: 293143 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++
--- User ---
[MBR] 1f89d61a65b5bd72e00aa30170dbe9fd
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 8064 | Size: 3820 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

Ben c'est pas facile. Des pages qui s'ouvrent en continu.

Et puis je t'ai dit plus Malekal, que dans les processus, j'avais plusieurs qui me semblent bizarres.

Breffffff

""""""""""""

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-12-2014 01
Ran by mamoune at 2014-12-11 11:41:04 Run:1
Running from C:\Users\mamoune\Desktop
Loaded Profile: mamoune (Available profiles: mamoune)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
R2 VULDGMaBwd; C:\ProgramData\DrJUWOR\VULDGMaBwd.exe [2726776 2014-12-10] (Rational Thought Solutions)
11 00:16 - 2014-12-11 07:55 - 00000000 ____D () C:\Users\mamoune\AppData\Local\StormAlert
2014-12-10 20:33 - 2014-12-10 20:33 - 00000000 ____D () C:\ProgramData\IHProtectUpDate
2014-12-10 20:33 - 2014-12-10 20:33 - 00000000 ____D () C:\Program Files (x86)\STab
2014-12-10 19:53 - 2014-12-10 19:53 - 00003284 _____ () C:\Windows\System32\Tasks\yQSNvtgfClXRiB0
2014-12-10 19:53 - 2014-12-10 19:53 - 00003244 _____ () C:\Windows\System32\Tasks\7Rr7WG8Fk5bzXG9
2014-12-10 19:53 - 2014-12-10 19:53 - 00003242 _____ () C:\Windows\System32\Tasks\8Jf5ElFauc09WUm
2014-12-10 19:53 - 2014-12-10 19:53 - 00000000 ____D () C:\ProgramData\atjs
2014-12-10 19:53 - 2014-12-10 19:53 - 00000000 ____D () C:\Users\mamoune\AppData\Roaming\W7yWuWE
2014-12-10 19:53 - 2014-12-10 19:53 - 00000000 ____D () C:\Users\mamoune\AppData\Roaming\v5kesKx
2014-12-10 19:53 - 2014-12-10 19:53 - 00000000 ____D () C:\Users\mamoune\AppData\Roaming\8ve8vgH
C:\ProgramData\DrJUWOR
*****************

VULDGMaBwd => Unable to stop service
VULDGMaBwd => Service deleted successfully.
11 00:16 - 2014-12-11 07:55 - 00000000 ____D () C:\Users\mamoune\AppData\Local\StormAlert => Error: No automatic fix found for this entry.
C:\ProgramData\IHProtectUpDate => Moved successfully.
C:\Program Files (x86)\STab => Moved successfully.
C:\Windows\System32\Tasks\yQSNvtgfClXRiB0 => Moved successfully.
C:\Windows\System32\Tasks\7Rr7WG8Fk5bzXG9 => Moved successfully.
C:\Windows\System32\Tasks\8Jf5ElFauc09WUm => Moved successfully.
C:\ProgramData\atjs => Moved successfully.
C:\Users\mamoune\AppData\Roaming\W7yWuWE => Moved successfully.
C:\Users\mamoune\AppData\Roaming\v5kesKx => Moved successfully.
C:\Users\mamoune\AppData\Roaming\8ve8vgH => Moved successfully.

"C:\ProgramData\DrJUWOR" directory move:

Could not move "C:\ProgramData\DrJUWOR\info.dat" => Scheduled to move on reboot.
Could not move "C:\ProgramData\DrJUWOR\VULDGMaBwd.dat" => Scheduled to move on reboot.
C:\ProgramData\DrJUWOR\VULDGMaBwd.exe => Moved successfully.
C:\ProgramData\DrJUWOR\VULDGMaBwd.exe.config => Moved successfully.
Could not move "C:\ProgramData\DrJUWOR\dat\chzWmID.dll" => Scheduled to move on reboot.
Could not move "C:\ProgramData\DrJUWOR\dat\PBAazLh.exe" => Scheduled to move on reboot.
Could not move "C:\ProgramData\DrJUWOR\dat\PBAazLh.exe.config" => Scheduled to move on reboot.
Could not move "C:\ProgramData\DrJUWOR\dat\tOfxwNTJ.dll" => Scheduled to move on reboot.
Could not move "C:\ProgramData\DrJUWOR\dat\UzDXVEs.exe" => Scheduled to move on reboot.
Could not move "C:\ProgramData\DrJUWOR\dat\UzDXVEs.exe.config" => Scheduled to move on reboot.
Could not move "C:\ProgramData\DrJUWOR" directory. => Scheduled to move on reboot.


=> Result of Scheduled Files to move (Boot Mode: Normal) (Date&Time: 2014-12-11 11:42:45)<=

C:\ProgramData\DrJUWOR\info.dat => Is moved successfully.
C:\ProgramData\DrJUWOR\VULDGMaBwd.dat => Is moved successfully.
C:\ProgramData\DrJUWOR\dat\chzWmID.dll => Is moved successfully.
C:\ProgramData\DrJUWOR\dat\PBAazLh.exe => Is moved successfully.
C:\ProgramData\DrJUWOR\dat\PBAazLh.exe.config => Is moved successfully.
C:\ProgramData\DrJUWOR\dat\tOfxwNTJ.dll => Is moved successfully.
C:\ProgramData\DrJUWOR\dat\UzDXVEs.exe => Is moved successfully.
C:\ProgramData\DrJUWOR\dat\UzDXVEs.exe.config => Is moved successfully.
C:\ProgramData\DrJUWOR => Is moved successfully.

==== End of Fixlog ====

Ok Malekal, je vois ça et je te contacte à nouveau si problème.

Cependant il est bien lent qd même. Et je constate cette lenteur sur bien des portables de mon entourage.

Merci

PS : J'attends un jour ou deux avant de fermer la discussion.

Ce que tu peux faire, c'est désactiver les programmes du constructeur du démarrage pour l'alléger, dans ton cas c'est ACER.

Touche Windows + R
tape msconfig et OK.
Onglet services et démarrage
décoche tout ce qui est ACER.

Ensuite, il faut jeter un oeil à la température, s'il chauffe les performances sont dégradées.
Installe Speedfan et vois à combien monte la température au maximum durant l'utilisation de l'ordinateur.
=> https://www.malekal.com/mesurer-temperatures-cpu-gpu-ssd-disque-dur-de-votre-pc/

J'ai seulement 3 programmes (dont l'antivirus) au démarrage. J'ai tjrs veillé à ne rien avoir de superflus qui n'est pas nécessaire, donc pas de programme "Acer". Cependant je remarque que dans les services, il y a "Acer ePower Service" en cours d'utilisation. Est ce que je peux désactiver ou mettre en manuel?
Je remarque par Ccleaner que j'ai "Boxore client". D'après recherches il s'agirait d'un malware. Pourtant depuis quelques jours j'ai scanné et supprimé avec Adwcleaner.

Puis dans les processus, je remarque plusieurs programmes qui me semblent "bizarres", comme par exemple "GoogleCrashHandler.exe". Je l'ai en double. Puis "GrefHSRW.exe" - "Local Manageeability Service" - "unsecapp.exe". Je me rends souvent dans ce gestionnaire, et je n'ai jamais remarqué ces programmes.
Je dois peut être me rendre sur un autre forum pour ça Malekal?

Et puis je vais m'intéresser à la température.

Merci

non pour le forum.
GrefHSRW.exe tue le processus et supprime le dossier qui le contient (fais une recherche de fichiers).
Les autres tu peux les désactiver.

Eh bien je n'ai pas de dossier concernant "GrefHSRW.exe". J'ai arrêté le processus. Rien non plus dans regedit.
Les autres processus, je les ai arrêtés aussi, je verrai bien.

J'ai ouvert Speedfan, mais même avec le tuto, je pige pas tjrs bien. J'y reviendrai.

Une dernière chose Malekal. Je t'ai demandé ce qu'il en était pour "Boxore client". Je viens de le virer dans Ccleaner. Mais il me semble que je l'avais déjà ôté dans les jours passés. Il y aurait donc quelque part un programme qui le réinstalle automatiquement ptet.

Oki Malekal, je regarde tout ça.

MBAM je l'utilise régulièrement, C'est par lui que j'ai vu les quelques 2000 infections.
J'utilise régulièrement Ccleaner pour désinstaller et nettoyer.
Puis de temps à autre un scann avec Adwcleaner.
Et puis après, intervient Malekal :-))

Bonne suite à toi.

lol :)
bon début de WE à toi aussi :)

Excuse moi, une question subsidiaire. Lorsqu'une réponse est satisfaisante, l'on clique sur (+) j'imagine.

oui et -1 quand c'est une réponse mauvaise.