Davidbxl

--- 12 janvier à 12h49 --- Hello à tous, La situation semble vraiment désespérée pour ma machine. Les problèmes sont les suivants : PC super lent, malgré le Icore7 IE rame au démarrage. Au niveau sécurité de l'exploreur, les settings ont été désactivés. Comme indiqué dans un précédent message, impossible de conserver un point de restauration... Windows FIX IT a effectué quelques corrections, au niveau de la prévention de l'exécution de données, ainsi que quelques corrections au niveau Windows update... J'ai lancé un scanner online (EST si je ne m'abuse) et ai eu quelques corrections : C:\Downloads\Software\gupsetup-13776.exe probably a variant of Win32/ELEX application cleaned by deleting - quarantined C:\Downloads\Software\gusetup.exe probably a variant of Win32/ELEX application cleaned by deleting - quarantined Lors d'une vérification des services sous W7, j'ai du redémarrer certains... ce qui m'a permis de faire quelques mises à jours importantes sous W7 Comme vous pouvez le constater, j'ai essayé de trouver une solution, avant de faire appel à l'équipe. Mon dernier espoir, avant que je ne flingue ma machine... Voici le dernier rapport © CJoint.com, 2012 Virus? Malware? Les deux? Mille mercis pour votre aide David --- 16 janvier à 20h39 --- Hello, Merci d'avance pour votre retour et support, j'imagine que vous êtes forts chargés actuellement Virus / malware ? - Forums Zebulon.fr David Bonsoir Davidbxl, Si tu veux faire une relance, il existe un sujet pour ça dans le forum Sécurité : On m'a oublié. Cordialement Notpa

Hello Ab-web, Merci pour ton retour et commentaires. Ok, je laisse en l'état. Je vais faire tourner fix it et si nécessaire je vous ferai un retour (plus que probable) En effet, j'ai malgré tout l'impression que mon pc est vérolé. Belle après-midi et merci David

Bonjour, Je cherche à optimiser le setting de mon pare-feu suite à de récentes infections... En vérifiant les propriétés, je suis tombé sur ceci sous l'onglet général: C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork Nom du service MpsSvc Sur l'onglet connexion, "ouvrir une session en tant que" je me retrouve avec l'option sélectionnée : "Ce compte" (service local) Il y a en outre un mot de passe... dont je ne suis pas à l'origine Serait-il judicieux de changer ce setting ? Merci pour vos suggestion et aide les gars

Merci Tomtom95 pour tes conseils. Pendant la nuit, j'ai fait tourner un scan antivirus online. Que penses-tu du rapport ? © CJoint.com, 2012 Il est tout de même positif A priori, le cleaning est fait. A suivre... Sinon, tes conseils sont déjà en place sur ma machine. David

Hello Tomtom95 Pas d'amélioration du tout, J'ai relancé ZHPDiag, en espérant qu'il te parle © CJoint.com, 2012 Merci d'avance pour ton aide David

Je ne sais pas si ce rapport pourra te parler.... Plantage lors du scan d'origine, j'ai dû relancer.. © CJoint.com, 2012 Bonne soirée.

Le rapport de virustotal. Désolé pour le formatage. A priori, c'est positif niveau infection! SHA256: 03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae SHA1: 3a497d3968a4f6e3c648d196da38e5f98e75ec30 MD5: 589312a3b46721c5a751e4d5222a89be File size: 60.0 KB ( 61440 bytes ) File name: wdbbz.sys File type: Win32 EXE Detection ratio: 4 / 45 Analysis date: 2012-12-10 20:58:12 UTC ( 1 minute ago ) ssdeep 768:UzNrXvTHr4DU6K5H5VLvDcLugwoMcq5+x7J1uQ9VP:QTG2VrOuN+lJpP TrID Clipper DOS Executable (33.3%) Generic Win/DOS Executable (33.0%) DOS Executable Generic (33.0%) VXD Driver (0.5%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) ExifTool MIMEType.................: application/octet-stream Subsystem................: Native MachineType..............: Intel 386 or later, and compatibles TimeStamp................: 2007:12:21 03:56:59+00:00 FileType.................: Win32 EXE PEType...................: PE32 CodeSize.................: 56064 LinkerVersion............: 7.1 EntryPoint...............: 0xd394 InitializedDataSize......: 4352 SubsystemVersion.........: 5.1 ImageVersion.............: 5.1 OSVersion................: 5.1 UninitializedDataSize....: 0 Portable Executable structural information Compilation timedatestamp.....: 2007-12-21 03:56:59 Target machine................: 0x14C (Intel 386 or later processors and compatible processors) Entry point address...........: 0x0000D394 PE Sections...................: Name Virtual Address Virtual Size Raw Size Entropy MD5 .text 1024 55126 55168 5.52 e0dc8fff10e3a7c6343455cd02a67954 .rdata 56192 270 384 3.44 d2fd0bc28e070ccc67879e04b7cd5302 .data 56576 192 256 0.04 66a415a49d751cb335895306ecfb3389 INIT 56832 886 896 5.17 79cc3d62ef3ba8053786e08dc9b6cddc .reloc 57728 3628 3712 6.60 4f845320301140370066cbceee4c5e4c PE Imports....................: [[ntoskrnl.exe]] ZwReadFile, RtlInitUnicodeString, ZwOpenKey, ZwCreateFile, swprintf, ZwEnumerateKey, KeSetPriorityThread, KeBugCheck, DbgPrint, ZwWriteFile, RtlUpcaseUnicodeChar, wcslen, KeTickCount, RtlPrefixUnicodeString, PsGetVersion, ExAllocatePoolWithTag, PsTerminateSystemThread, KeGetCurrentThread, _wcsicmp, ZwDeleteKey, ZwEnumerateValueKey, RtlCheckRegistryKey, ZwQueryValueKey, wcscat, ExFreePoolWithTag, MmGetSystemRoutineAddress, ZwSetInformationFile, RtlDeleteRegistryValue, ZwFlushKey, ZwOpenFile, PsCreateSystemThread, wcscpy, ZwSetValueKey, KeDelayExecutionThread, RtlWriteRegistryValue, ZwQueryInformationFile, ZwClose Symantec Reputation Suspicious.Insight First seen by VirusTotal 2008-09-13 14:30:26 UTC ( 4 ans, 2 mois ago ) Last seen by VirusTotal 2012-12-10 20:54:20 UTC ( 2 minutes ago ) File names (max. 25) 1. bjef.sys 2. @_WINDOWS@_system32@_drivers@_egrev.sys 3. jrmalc.sys 4. cqlvp.sys 5. graa.sys 6. qmqtghv.sys 7. srttwz.sys 8. cokxrold.sys 9. dnnx.sys 10. dhqb.sys 11. bnin.sy# 12. hfccup.sys 13. 589312A3B46721C5A751E4D5222A89BE 14. ghufwolo.sys 15. cmqoja.sys 16. lkxnp.sys 17. ajtsjpf.sys 18. wdbbz.sys 19. CreateFile.1.sdkjqusb.sy_ 20. cbzw.sys 21. zbrvjdah.sys 22. 0000_589312HH-96b0ab89d7d8b57cde6defc3c564d8d4-0 23. xshl.sys 24. tejfq.sys 25. 589312a3b46721c5a751e4d5222a89be_rsrc_0._ Je suis tes conseils sur Iobit, je le vire. C'est la versioni free. Quant à l'OS, oui, c'est le seul. Je passe au nettoyage. Pour info, j'ai fais un scan hier, pas de résultat selon Avira. A suivre et merci.

Hello Tomtom95 J'enrage, plus le moindre point de restauration sur mon disque...pour répondre à ta question Afin de pouvoir contribuer, dans la mesure du possible, j'ai fait tourner un scan dont voici le rapport: pjjoint.malekal.com - Submit a file Est-ce que cela te parle? Merci David EDIT: Afin d'essayer de fournir si possible une contribution, j'ai peut-être un début de soluce O58 - SDL:[MD5.589312A3B46721C5A751E4D5222A89BE] - 20/05/2012 - 01:17:10 ---A- . (...) -- C:\Windows\SysWOW64\drivers\wdbbz.sys [61440] Positif suite au scan automatique en tant que: Malware/Néfaste/PUP Qu'en penses-tu?

Hello Sacles, En effet, j'utilise celui de Iobit (smart defrag) Tout comme j'utilise CCcleaner. Question de mon côté, en fouillant un peu plus dans les services, je constate que le service netlogon est désactivé.. Puis-je où dois-je le relancer et le mettre en automatic? Bonne soirée David

Hello Tomtom95 Merci pour ton retour. Hier soir, j'ai essayé une mise à jour NVIDIA, mais sans succès, lors de l'installation. Mais bon, c'est une mise à jour, seulement. Voici le rapport ZHPFix © CJoint.com, 2012 Ainsi que le rapport Delfix 1er rapport # DelFix v6.2 - Rapport créé le 09/12/2012 à 15:55:50 # Mis à jour le 11/11/2012 par Xplode # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits) # Nom d'utilisateur : David - DAVID-PC # Exécuté depuis : C:\Users\David\Desktop\delfix.exe # Option [Recherche] ~~~~~~ Dossier(s) ~~~~~~ Présent : C:\ZHP Présent : C:\TDSSKiller_Quarantine Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP Présent : C:\Program Files (x86)\ZHPDiag ~~~~~~ Fichier(s) ~~~~~~ Présent : C:\Users\David\Desktop\ZHPDiag.txt Présent : C:\Users\David\Desktop\ZHPDiag2 (1).exe Présent : C:\Users\David\Desktop\ZHPFixReport.txt Présent : C:\Users\Public\Desktop\ZHPFix.lnk ~~~~~~ Registre ~~~~~~ Clé Présente : HKLM\SOFTWARE\OldTimer Tools Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1 ~~~~~~ Autres ~~~~~~ ************************* DelFix[R1].txt - [921 octets] - [09/12/2012 15:55:50] ########## EOF - C:\DelFix[R1].txt - [1044 octets] ########## 2ème rapport suite à la suppression : # DelFix v6.2 - Rapport créé le 09/12/2012 à 15:56:16 # Mis à jour le 11/11/2012 par Xplode # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits) # Nom d'utilisateur : David - DAVID-PC # Exécuté depuis : C:\Users\David\Desktop\delfix.exe # Option [suppression] ~~~~~~ Dossier(s) ~~~~~~ Supprimé : C:\ZHP Supprimé : C:\TDSSKiller_Quarantine Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP Non Supprimé : C:\Program Files (x86)\ZHPDiag ~~~~~~ Fichier(s) ~~~~~~ Supprimé : C:\Users\David\Desktop\ZHPDiag.txt Supprimé : C:\Users\David\Desktop\ZHPDiag2 (1).exe Supprimé : C:\Users\David\Desktop\ZHPFixReport.txt Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk ~~~~~~ Registre ~~~~~~ Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1 ~~~~~~ Autres ~~~~~~ -> Prefetch Vidé ************************* DelFix[R1].txt - [1041 octets] - [09/12/2012 15:55:50] DelFix[s1].txt - [1011 octets] - [09/12/2012 15:56:16] ########## EOF - C:\DelFix[s1].txt - [1135 octets] ########## Je passe à la suite, CHKDSK et te ferai un retour dès finalisation du scan. En espérant que cela résolve mon problème de point de restauration, c'est à ne rien y comprendre David

Hello Tomtom95 A voir d'ici quelques jours, si mes points de restaurations restent sauvés... Il m'en reste un du 7/12 mais plus les précédents A toutes fins utiles, j'ai refait un petit rapport, dont tu trouveras copie ci-dessous pjjoint.malekal.com - Submit a file Si tu pouvais me faire un retour? Mille mercis et bonne journée David Edit : Après avoir fait tourné ZHPdiag, je me suis permis de faire tourner l'utilitaire afin de l'analyser automatiquement. Je ne doute pas que cela peut générer de faux positifs... Ce sont les lignes ci-dessous, apparue en rouge (pas en gras) : O87 - FAEL: {200E17F5-4DD2-4D54-8BB0-0A67A0FF43D9} | In - Private - P6 - FALSE | .(.NVIDIA Corporation - NVIDIA Settings Update Manager.) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe O87 - FAEL: {9CB821B2-C76E-47F8-A495-EF9D471D2E6E} | In - Private - P17 - FALSE | .(.NVIDIA Corporation - NVIDIA Settings Update Manager.) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe O87 - FAEL: TCP Query User{563291F2-A3FE-4611-A4A8-CE5B51D12D3B}C:\program files (x86)\free download manager\fdm.exe | In - Public - P6 - TRUE | .(.FreeDownloadManager.ORG.) -- C:\program files (x86)\free download manager\fdm.exe O87 - FAEL: UDP Query User{4E831939-171C-4002-ADCC-F24DDAB07577}C:\program files (x86)\free download manager\fdm.exe | In - Public - P17 - TRUE | .(.FreeDownloadManager.ORG.) -- C:\program files (x86)\free download manager\fdm.exe O87 - FAEL: {54610F38-47B5-4677-A1D5-2604CA4F91B9} | In - Public - P6 - FALSE | .(.NVIDIA Corporation - NVIDIA Settings Update Manager.) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe O87 - FAEL: {2EBE0D06-BA91-4BE3-B6CA-09098CF2D7AD} | In - Public - P17 - FALSE | .(.NVIDIA Corporation - NVIDIA Settings Update Manager.) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe O87 - FAEL: TCP Query User{AC149C80-B422-49D6-8FF5-301D5796E923}C:\program files (x86)\videolan\vlc\vlc.exe | In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\videolan\vlc\vlc.exe O87 - FAEL: UDP Query User{56D17E01-2623-465E-A1FB-3BCFAA5D8221}C:\program files (x86)\videolan\vlc\vlc.exe | In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\videolan\vlc\vlc.exe Dois-je m'en inquiéter Tout au moins faire une mise à jour de NVIDIA? A+ David

Hello Dylav Bien noté et merci. Dans l'attente d'un petit retour de tomtom95

Hello Tomtom95 Merci pour ton aide. Le rapport: © CJoint.com, 2012 Ai appliqué à la lettre ta demande de remise en service de restauration windows. J'ai purgé l'ancien point et en ai refait un tout neuf...à suivre. En me promenant dans les services, j'ai constaté qu'un service n'était pas démarré automatiquement (cliché instantané des volumes). Qu'en penses-tu ? A plus et bonne soirée David

Hello à tous, Avant toute chose, merci d'avance pour votre aide et support Comme indiqué dans le sujet, j'ai de sérieux soucis niveau sauvegarde de mes points de restaurations... Ceux-ci sont constemment effacés Plus que probablement une infection, AVG et CCE étant positifs... J'ai lancé ZHPDiag Voici le rapport Bonne soirée et à plus David

Hello Tomtom95 Cela fait pratiquement deux semaines... so far, so good Mise à jour W7 et quelques correctifs de sécurité aujourd'hui. Espérons que cela tienne. Pour ton info, point de restauration du 30/08 toujours bien présent, ainsi que les suivants. Encoure un tout grand merci pour votre aide Longue vie au site David