lent, lent, tres lent, encore et toujours

Gof · le 13 mai 2009

Bon. Génère à présent un rapport Navilog1 en option 2, poste le rapport.

Relance SystemLook , copie-colle cette fois-ci ceci, assure toi de bien tout copier-coller ce que j'ai mis en rouge (les deux points au début inclus)

:filefind

boot.bat*

:contents

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\boot.bat

Poste le rapport.

topp · le 13 mai 2009

Clean Navipromo version 3.7.7 commencé le 15/05/2009 à 8:57:37,04

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

Nettoyage exécuté au redémarrage de l'ordinateur

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *

* Suppression dans "C:\Documents and Settings\invite\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\Didier\locals~1\applic~1" *

*** Suppression dossiers dans "C:\WINDOWS" ***

*** Suppression dossiers dans "C:\Program Files" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\invite\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\Didier\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\invite\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\Didier\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\invite\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\Didier\menudm~1\progra~1" ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\invite\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\WINDOWS\system32" *

* Dans "C:\Documents and Settings\invite\locals~1\applic~1" *

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Dans "C:\DOCUME~1\Didier\locals~1\applic~1" *

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !

Certificat Electronic-Group supprimé !

Certificat Montorgueil absent !

Certificat OOO-Favorit supprimé !

Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***

*** Nettoyage terminé le 15/05/2009 à 9:20:58,71 ***

==============================================================

SystemLook v1.0 by jpshortstuff (24.04.09)

Log created at 09:26 on 15/05/2009 by invite (Administrator - Elevation successful)

========== filefind ==========

Searching for "boot.bat*"

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Boot.Bat --a--- 16 bytes [18:18 11/01/2009] [18:18 11/01/2009] AD56E46BDE64CADA98C71F5E997E1EF1

========== contents ==========

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\boot.bat - Opened succesfully.

C:\THALWIN.BAT

-=End Of File=-

Gof · le 14 mai 2009

Bonjour topp

Très bien. Encore une nouvelle recherche SystemLook je te prie, de la même manière que précédemment :

Relance SystemLook , copie-colle cette fois-ci ceci, assure toi de bien tout copier-coller ce que j'ai mis en rouge (les deux points au début inclus)

:comment

debut script

:file

c:\documents and settings\invite\local settings\application data\daqhgulb.exe

C:\THALWIN.BAT

:filefind

*daqhgulb*

:dir

C:\thalwin4 /s

:contents

C:\THALWIN.BAT

Poste le rapport.

topp · le 14 mai 2009

bonjour

thalwin.bat est le reste d'un logiciel médical qui n'a pas été supprimé lors de la désinstallation.

SystemLook v1.0 by jpshortstuff (24.04.09)

Log created at 23:50 on 15/05/2009 by invite (Administrator - Elevation successful)

========== file ==========

c:\documents and settings\invite\local settings\application data\daqhgulb.exe - Unable to find/read file.

C:\THALWIN.BAT - Unable to find/read file.

========== filefind ==========

Searching for "*daqhgulb*"

No files found.

========== dir ==========

C:\thalwin4 - Parameters: "/s"

---Files---

51937.mon --a--- 14 bytes [21:59 23/02/2009] [21:38 29/04/2009]

accesdb.dat --a--- 45 bytes [21:59 23/02/2009] [21:35 23/02/2009]

COMPTA.EXE --a--- 796672 bytes [21:59 23/02/2009] [09:27 24/02/2006]

PP51937.dat --a--- 52 bytes [21:59 23/02/2009] [21:59 23/02/2009]

TARIF2.DAT ------ 42 bytes [09:09 15/08/2002] [16:16 15/08/2002]

C:\thalwin4\cabdat d----- [21:59 23/02/2009]

PP51937.dat --a--- 52 bytes [21:59 23/02/2009] [21:59 23/02/2009]

C:\thalwin4\compta d----- [21:59 23/02/2009]

2035_V7.EXE ------ 658432 bytes [17:17 02/02/2006] [22:22 03/02/2006]

AMO51937.rts --a--- 611 bytes [21:59 23/02/2009] [22:42 16/03/2008]

AUTO.06 --a--- 47 bytes [22:00 23/02/2009] [21:49 28/03/2007]

AUTO.07 --a--- 47 bytes [22:00 23/02/2009] [22:20 16/03/2008]

AUTO.08 --a--- 78 bytes [20:45 20/04/2009] [16:29 15/03/2009]

AUTO.97 --a--- 369 bytes [22:00 23/02/2009] [13:50 12/02/1998]

BAL51937.06 --a--- 31 bytes [21:59 23/02/2009] [22:15 05/04/2007]

BAL51937.07 --a--- 31 bytes [21:59 23/02/2009] [19:37 23/03/2008]

BAL51937.08 --a--- 34 bytes [20:44 20/04/2009] [20:59 08/04/2009]

Banque7.exe ------ 935936 bytes [14:14 07/08/2006] [19:19 08/08/2006]

BQ51937.06 --a--- 245417 bytes [21:59 23/02/2009] [22:33 03/04/2007]

BQ51937.07 --a--- 305090 bytes [21:59 23/02/2009] [21:17 10/12/2007]

BQ51937.08 --a--- 340550 bytes [21:59 23/02/2009] [23:05 17/03/2009]

BQ51937.09 --a--- 75438 bytes [22:00 23/02/2009] [22:36 23/03/2009]

CORRECT7.EXE ------ 739840 bytes [18:18 02/02/2006] [23:23 03/02/2006]

CROSS.BMP --a--- 27702 bytes [21:59 23/02/2009] [21:43 29/04/2009]

DEPENSE7.EXE ------ 732672 bytes [18:18 02/02/2006] [23:23 03/02/2006]

DEP_TAB7.EXE ------ 1069568 bytes [17:17 02/02/2006] [22:22 03/02/2006]

Dette.dll ------ 457216 bytes [13:13 02/03/2006] [18:18 03/03/2006]

E51937.04 --a--- 6623 bytes [22:00 23/02/2009] [21:19 04/06/2007]

E51937.05 --a--- 1715031 bytes [22:00 23/02/2009] [14:22 29/06/2007]

E51937.06 --a--- 1528719 bytes [22:00 23/02/2009] [15:22 16/09/2007]

E51937.07 --a--- 1440919 bytes [22:00 23/02/2009] [21:28 08/11/2008]

E51937.08 --a--- 1266378 bytes [22:00 23/02/2009] [06:19 28/04/2009]

E51937.09 --a--- 407437 bytes [22:00 23/02/2009] [09:24 28/04/2009]

EXP51937.OK --a--- 9 bytes [21:38 29/04/2009] [09:30 28/04/2009]

ExpRec7.exe ------ 225280 bytes [13:13 10/02/2005] [21:21 10/02/2005]

IMPAYE7.EXE ------ 626176 bytes [16:16 18/10/2006] [00:00 30/01/2007]

PackCpt7.pck --a--- 11737188 bytes [22:00 23/02/2009] [09:29 28/04/2009]

Recette7.exe ------ 1132032 bytes [16:16 22/09/2006] [20:20 08/03/2007]

REINDEX7.EXE ------ 411648 bytes [16:16 03/02/2006] [21:21 04/02/2006]

REMCHQ7.EXE ------ 826880 bytes [11:11 08/09/2006] [16:16 09/09/2006]

S51937.05 --a--- 6193 bytes [22:00 23/02/2009] [16:36 10/02/2007]

S51937.06 --a--- 41000 bytes [22:00 23/02/2009] [21:46 03/04/2007]

S51937.07 --a--- 50698 bytes [22:00 23/02/2009] [12:28 25/03/2008]

S51937.08 --a--- 42505 bytes [22:00 23/02/2009] [20:46 08/04/2009]

SAV51937.05 --a--- 24 bytes [22:00 23/02/2009] [20:35 03/04/2007]

SAV51937.06 --a--- 275 bytes [22:00 23/02/2009] [20:02 11/01/2008]

SAV51937.07 --a--- 275 bytes [22:00 23/02/2009] [18:21 28/12/2008]

SAV51937.08 --a--- 257 bytes [22:00 23/02/2009] [06:20 09/04/2009]

SAV51937.09 --a--- 34 bytes [20:44 20/04/2009] [20:21 08/04/2009]

SLD51937.03 --a--- 202 bytes [22:00 23/02/2009] [21:13 19/09/2006]

SLD51937.04 --a--- 10 bytes [22:00 23/02/2009] [22:12 03/09/2006]

SLD51937.05 --a--- 10 bytes [22:00 23/02/2009] [22:11 03/09/2006]

SLD51937.06 --a--- 796 bytes [22:00 23/02/2009] [22:14 05/04/2007]

SLD51937.07 --a--- 715 bytes [22:00 23/02/2009] [22:11 14/03/2009]

SLD51937.08 --a--- 715 bytes [22:00 23/02/2009] [16:57 05/04/2009]

SLD51937.09 --a--- 10 bytes [22:00 23/02/2009] [22:09 22/03/2009]

SLD51937.30 --a--- 10 bytes [22:00 23/02/2009] [22:12 03/09/2006]

SLD51937.39 --a--- 10 bytes [22:00 23/02/2009] [22:09 03/09/2006]

TARIF7.EXE ------ 542208 bytes [15:15 23/03/2006] [20:20 24/03/2006]

TIERS7.EXE ------ 634368 bytes [17:17 14/09/2006] [23:23 29/06/2007]

TYPAMORT.DAT --a--- 575 bytes [22:00 23/02/2009] [14:24 02/04/1998]

VIRBANQ7.EXE ------ 603648 bytes [13:13 11/06/2004] [21:21 11/06/2004]

Voidep7.exe ------ 925184 bytes [18:18 02/02/2006] [23:23 03/02/2006]

VOIREC7.EXE ------ 1205760 bytes [16:16 31/08/2006] [21:21 01/09/2006]

C:\thalwin4\Sagem_140 d----- [18:20 11/01/2009]

========== contents ==========

C:\THALWIN.BAT - Unable to open file.

-=End Of File=-

Gof · le 14 mai 2009

Bonsoir

D'accord. Cette entrée m'interpellait, je ne la connaissais pas et donc fouillait en conséquence. Il y a donc un fichier Boot.bat appelé dès le démarrage de windows, qui lui-même exécute le fichier suivant (qui n'est plus présent visiblement) THALWIN.BAT. Plus tout un répetoire thalwin4 de présent encore. Si tu me dis que tu connais, et que ce n'est pas inquiétant, ça roule. Si le soft est désinstallé, dis le moi qu'on supprime toutes les entrées alors.

Relance Malwarebytes' Anti-Malware (MBAM)

Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Branche tes supports amovibles (clés USB, lecteurs MP3, cartes Flash, etc.) sans les ouvrir.
Sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
L'analyse démarre.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

topp · le 14 mai 2009

pour thalwin, oui le programme n'est plus présent.

J'en profite pour répondre pour mac afee. Il était livré avec le micro pour essai je sais plus 10 jours. Impossible de désinstaller avec constament une fen^tre pour payer. Je suis allé dans msconfig pour essayer de désactiver ce que je pouvais.

Bilan des actions actuelles.

Le micro ne bloque plus immédiatement, mais reste extremement lent. Je peux faire des recherches dans un temps raisonnables. J'ai essayé un film, il faut être patient, ça coupe. deezer, la musique est fluide (non sccadée) avec des coupures et parfois il faut relancer.

Donc, quelque chose a été éradiqué, mais pas tout.

Je relance mbam

Modifié le 15 mai 2009 par topp

topp · le 15 mai 2009

voici le rapport

Malwarebytes' Anti-Malware 1.36

Version de la base de données: 2132

Windows 5.1.2600 Service Pack 3

16/05/2009 21:30:14

mbam-log-2009-05-16 (21-29-56).txt

Type de recherche: Examen complet (C:\|)

Eléments examinés: 248563

Temps écoulé: 1 hour(s), 29 minute(s), 12 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):