Ralentissements PC

Question

Mon PC souffre de terribles ralentissements lors de l'ouverture de nouvelles fenetres. C'est particulierement insupportable sur internet, ou envoyer un simple email peut s'averer mission impossible. Je ne peux plus rien faire. J'ai tente tous les scans, nettoyages, demarrages selectifs et defrags possibles, mais helas, rien ne change. Impossible de formater dans l'immediat, car je suis a l'etranger et n'ai pas les CDs. J'ai absolument besoin de mon PC et surtout d'internet pour travailler chez moi. Merci si quelqu'un peut m'aider.

Pour gagner du temps, ci-dessous ma config et resultat Highjack.
Config : Celeron M 1.7 GHz, 512 RAM, DD 80 GG, Win XP

Highjack:
Logfile of HijackThis v1.99.1
Scan saved at 1:14:42, on 21.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRA~1\Grisoft\AVG7\avgcc.exe
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\WINDOWS\system32\ctfmon.exe
D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
D:\WINDOWS\eHome\ehRecvr.exe
D:\WINDOWS\eHome\ehSched.exe
D:\WINDOWS\system32\dllhost.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
https://www.rambler.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - 
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common 
Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - 
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} - 
D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - 
D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Rambler-Àññèñòåíò - {468CD8A9-7C25-45FA-969E-3D925C689DC4} 
- D:\Program Files\Rambler Assistant\ramblertoolbarU0.dll
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SynTPEnh] D:\Program 
Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - 
res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Íàéòè ñ ïîìîùüþ Ðàìáëåðà - 
res://D:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/search.htm
O8 - Extra context menu item: Îïóáëèêîâàòü â Äíåâíèêå - res://D:\Program 
Files\Rambler Assistant\ramblertoolbarU0.dll/planet.htm
O8 - Extra context menu item: Ïåðåâåñòè ñ ïîìîùüþ ñëîâàðåé Ðàìáëåðà - 
res://D:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 
D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - 
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program 
Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Send to OneNote - 
{2670000A-7350-4f3c-8081-5663EE0C6C49} - 
D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - 
{2670000A-7350-4f3c-8081-5663EE0C6C49} - 
D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - 
%windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - 
{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file 
missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 
D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - 
D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - 
{B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program 
Files\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - 
D:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - 
{E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - 
D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - 
{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program 
Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) 
- http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - 
HKLM\System\CCS\Services\Tcpip\..\{5AEA0A3F-053C-4F52-A182-EAD9DA143F9B}: 
NameServer = 172.16.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} 
- D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - 
D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - 
D:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - 
D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - 
D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - 
D:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: igfxcui - D:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - 
D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - 
D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision 
Corporation - D:\Program Files\Common 
Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Program 
Files\iPod\bin\iPodService.exe

^^Marie^^ · Answer

Bonjour
Je ne fais que passer

Pourquoi sur D/ ?

tsar_ludovik · Answer

Longue histoire... J'avais au depart deux systemes d'exploitation, et ai finalement conserve celui qui etait sur le D .

moK´s@ · Answer

salut a vous deux,

tu es en russie? 

tu avait quoid comme systeme d´exploitation sur c au paravant?

nettoie ton registre avec ceci dans un premier temps :

https://forums.cnetfrance.fr

@+

moK´s@ · Answer

tu as des pubs?

moK´s@ · Answer

salut tsar_ludovik,

* Télécharge combofix.exe (par sUBs) sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe     

* Double clique combofix.exe.
* Tape sur la touche 1 (Yes) pour démarrer le scan.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 


NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+

moK´s@ · Answer

re,

passe ceci :

télécharges smitfraudfix :

En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php

tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
cela vas générer un rapport.

Copie/colle le rapport sur le forum stp.

@+

moK´s@ · Answer

ok

est ce que le combofix, a amelioré la situation?

afideg · Answer

Up
Pour suivre le topic SVP 
moK´s@ , à quoi as-tu vu Russie ?
kiitos
Al

moK´s@ · Answer

bonsoir afideg,

ca ce sent des choses comme ca, j´ai moi meme des ancêtres russes; non mais plus serieusement :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
https://www.rambler.ru/

tu fais bien de passer par ici, tu as quelque chose a proposer ?

kiitos,

hyvää iltaa...

afideg · Answer

Re,
OK, pas vu .

Non pas maintenant.

Bravo pour ceci de ComboFix :
[color=red][b] Rootkit driver pe386 is present. ... attempting disinfection [/b][/color] 
[color=blue] pe386 ...... driver unloaded successfully.[/color] 
[i] ADS removed - system32: deleted 55004 bytes in 1 streams. [/i] 
Je vois que tu ne sais plus t'en passer.   ;)

J'attends la réponse de l'internaute.

Java à mettre à jour parce que sa version a une faille .

hyvää iltaa...  à toi aussi.
Al.

EDIT:  En ComboFix, j'observe ceci :

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] 
ALCMTR.EXE  <-- Il s'agit d'une partie de ta carte son. La plupart des experts s'accordent à dire que ce processus ne sert à rien, et qu'il collecte des informations contre ton gré  . 
===> à supprimer ainsi : [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] ou manuellement.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] 
"D:\Program Files\ICQ6\ICQ.exe"  silent 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] 
"D:\Program Files\ICQLite\ICQLite.exe" -minimize 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd] 
D:\WINDOWS\system32\hkcmd.exe 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers] 
D:\WINDOWS\system32\igfxpers.exe

Soient 4 fichiers pour VirusTotal ?
Et quel est son pare-feu ?

moK´s@ · Answer

,-)

tsar_ludovik · Answer

Tout s'est debloque ! C'est donc Combofix qui a arrange mon PC ? Tout est fluide, comme avant ! Je peux enfin travailler chez moi. Merci a vous !

moK´s@ · Answer

bien je suis content de l´apprendre ludovik,

fais ceci :

rends les fichiers cachés visible comme ceci :

¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer ! 

et rends toi sur ce site :

https://www.virustotal.com/gui/

et fais analyser ceci :

D:\Program Files\ICQ6\ICQ.exe
D:\Program Files\ICQLite\ICQLite.exe
D:\WINDOWS\system32\hkcmd.exe
D:\WINDOWS\system32\igfxpers.exe 

tu les upload en fesant parcourir et tu poste les rapports ici . (1 a la fois)

puis fais ceci :

click sur demarrer puis execute, dans la boite de dialogue tape regedit, dans la fenetre du registre, navigue jusqu´a cette clef et supprime la :

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] 

(merci afideg)

bonne soirée

@+

afideg · Answer

Bonsoir le tsar

....... puis fais ceci : 
click sur "démarrer" puis "exécuter" >  dans la boite de dialogue taper regedit  >  dans la fenêtre du registre, naviguer jusqu´à cette sous-clef Alcmtr  et supprime-la en suivant cette arborescence :  [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] 


Bonne chance
Al.
Salut moK´s@

moK´s@ · Answer

salut afideg,

aucune info sur les fichiers analysés O_Ö >  tu en pensse quoi?

@+

afideg · Answer

Bonjour

A)- Je pense que ça ne pourrait pas être mauvais.
Quoique peut-être inutile.
En effet, je lis que plusieurs font supprimer cet outil que je vois en ComboFix:

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
"D:\Program Files\ICQ6\ICQ.exe" silent
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"D:\Program Files\ICQLite\ICQLite.exe" -minimize

B)- De même en ComboFix, j'observe ceci :

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
ALCMTR.EXE <-- Il s'agit d'une partie de ta carte son. La plupart des experts s'accordent à dire que ce processus ne sert à rien, et qu'il collecte des informations contre ton gré .
===> à supprimer ainsi : [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] ou manuellement.
.. et que l'internaute ne semble pas désireux de l'émiminer.
( encore des traces là D:\WINDOWS\Alcmtr.exe )

C)- Il pense que ComboFix a résolu entièrement son souci
==> sans doute grâce à ceci ( comme déjà signalé # 14 ):
[color=red][b] Rootkit driver pe386 is present. ... attempting disinfection [/b][/color]
[color=blue] pe386 ...... driver unloaded successfully.[/color]
[i] ADS removed - system32: deleted 55004 bytes in 1 streams. [/i]

Mais je lis qu'il semble avoir utilisé un script BFU le 21 août 2007 déjà; à preuve :
2007-08-21 21:09 <DIR> d-------- D:\WINDOWS\system32\bfubackups
2007-08-21 21:06 <DIR> d-------- D:\BFU
J'aimerais recevoir des explications et éventuellment ce script utilisé.

Et le lis aussi qu'il lui reste des failles de sécurité ==> par exemple Java\jre1.6.0_01 et Firewall.

Bonne continuation
Al.

afideg · Answer

Bonsoir tsar_ludovik,

Pour Java , une vulnérabilité a été identifiée dans Sun JDK et JRE, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Vas chez Java Sun < https://www.java.com/fr/download/manual.jsp > et télécharge la dernière Version 6 Update 2.
Après installation et redémarrage, vas dans le panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, (et reste aussi à ôter dans "program files" dans Java le vieux dossier qui n'est pas ôter lors de la désinstallation ) ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.
Retourne alors chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

Pour BFU, ce qui est encore plus surprenant c'est que tu ne saches pas ce que c'est, ni si quelqu'un l'a utilisé.
Tu annonces « J'ai effectivement un truc de ce nom sur mon bureau, mais je n'y ai pas touche le 21» ( lire le 17/08/2007 --> voir plus loin ) et « Pour BFU, je suppose que c'est quelque chose que j'avais tente au hasard la semaine derniere. »

Raisonnement :
- On ne joue pas au hasard avec BFU.
- En 1 semaine, on n'oublie pas ce qu'on a fait sur son PC ( dans ton cas ).
- Qu'as-tu réellement sur ton bureau ? ==> ouvre-le et poste son contenu.
- Le plus surprenant que je sache, c'est le décalage des dates ; ==> ComboFix 07-08-17.2 - "Ludovik" 2007-08-23 18:19:56.1
2007-08-21 21:09 <DIR> d-------- D:\WINDOWS\system32\bfubackups
2007-08-21 21:06 <DIR> d-------- D:\BFU
D'accord, il y a un décalage horaire de ± 2 heures en avance chez toi (18:19:56.1) par rapport à nous (dimanche 19 août 2007 à 16h25:1) ==> Mais ça n'explique pas ce décalage dans la date dès lors que le rapport a été fait le le dimanche 19 août 2007.

Je ne saurai pas résoudre cette question de calendrier ==> voir dans le "panneau de configuration" , l'icone de réglage de la date et de l'heure.

Peut-être mon ami moK´s@ pourra y contribuer ?

Bonne soirée
Al.

moK´s@ · Answer

salut le tsar et afideg, 

oui c´est surprenant cette histoire de bfu (comme le dis afideg, on ne joue pas avec bfu), et les dates qui ne coincident pas; meme pour combofix...

peut etre des erreures engendrés par w32time ou un mauvais réglage de l´heure et de la date ou tout simplement une erreure de combofix...

mais cela étant bfu a bien été utilisé, il serait interressant de voir le rapport...

nähdään,
=
@+

afideg · Answer

Bonjour moK´s@ et tsar_ludovik, 

Oui en effet, il n'y a pas que ComboFix  ; le scan SmitfraudFix qui a suivi est également porteur des mêmes symptômes 
==> Voila le rapport Smitfraud par tsar_ludovik, le dimanche 19 août 2007 à 18h36:28 : 
SmitFraudFix v2.213b  Scan done at 20:33:36,43, 23.08.2007 


Là est sans doute une des causes des soucis de tsar_ludovik.


Al.

afideg · Answer

Bonsoir TLM

tsar_ludovik,
Supprime ces deux fichier/dossier qui sont sur ton bureau "le batch BFU" et "bfubackups"
Fais ensuite ceci pour supprimer complètement d'autres outils éventuellement utilisés :
•- Lance OTmoveIT < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe > téléchargé sur ton bureau.
[*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si OTmoveIT peut accéder à Internet, Autorise-le.
[*]Une liste apparaît dans la partie gauche d'OTmoveIT.
[*]Un message apparaît pour confirmer le nettoyage. Confirme
•- Redémarre le PC

Ensuite dans "Poste de travail", vas rechercher ce dossier Temp\ et vide le dossier.
(Failed: FileDelete D:\Documents and Settings\Ludovik\Local Settings\Temp\~DFB741.tmp (operation failed) )
==> Recommandation : Nettoyage des fichiers inutiles :
1)- Dans la barre de menus ( au-dessus ), clic sur "Outils" > "Options Internet" > puis au § "Fichiers Internet temporaires", cliquer sur le bouton radio [supprimer le cookies...]; fais la même chose avec [supprimer les fichiers... ]: < http://img221.imageshack.us/img221/416/screenshot273cl3.gif >.
2)- Internet Explorer:
- Ouvrez "Options Internet..." depuis le menu "Outils".
- Choisissez l'onglet "Confidentialité" et positionnez les réglages au moins sur Moyen.
- Utilisez le bouton "Avancé..." pour activer "Ignorer la gestion automatique des cookies" et "Refuser" les "Cookies tierce partie".
3)- Le mieux, télécharger : ATF-Cleaner < http://www.atribune.org/ccount/click.php?id=1 >
Tuto < http://mickael.barroux.free.fr/securite/tutoatfcleaner.html > , et le lancer tous les jours quand tu quittes le PC.

Comment se comporte le PC ?

Bonne nuit
Al.

Patience-Vigilance-Amour.

afideg · Answer

Salut Marie & moK´s@, 

Bonjour tsar_ludovik

Content pour toi et bonne semaine.
Al.

moK´s@ · Answer

De meme... 

Kiitos ;-)

Ralentissements PC

22 réponses

Votre réponse

Newsletters