Mon PC se comporte bizarrement

[dan2argeles]

Bonjour,

Mon Pc se comporte bizarrement depuis quelques jours. Démarrage et arrêt Windows très lents, blocage de la souris pendant plusieurs secondes voire minutes, exécution de programmes anormalement lente...

J'ai fait les manips suivantes :

- vérif de mes 2 disques et défragmentation,

- passage de malwarebytes' qui a trouvé plusieurs anomalies que j'ai supprimées,

- passage de HiJackThis avec des O23 douteux,

- Redémarrage du système avec fonctionnement presque normal...puis de nouveau les mêmes problèmes en pire !!

- démarrage en mode sans echec

- passage de malwarebytes' qui a trouvé de nouvelles anomalies que j'ai supprimées,

- passage de HiJackThis avec toujours des O23 douteux,

- ralentissement et blocage de la souris pendant plusieurs secondes, même en mode Sans Echec ???

En désespoir de cause je viens vers vous pour trouver de l'aide et éradiquer mes problèmes

Je tiens à votre dispo les logs HiJackThis et malwarebytes.

Merci de votre aide.

Cordialement.

Modifié le 16 mars 2011 par dan2argeles

[pear]

Bonjour,

 

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman

Décompresser le fichier ZHPDiag.fix sur le bureau

puis double-cliquer sur le fichier ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

 

Sous XP, double clic sur ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Clic sur la Loupe pour lancer le scan

En cas de blocage sur O80, cliquez sur le tournevis pour le décocher

Postez en le rapport ZhpDiag.txt qui apparait sur le bureau

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

[dan2argeles]

Bonjour,

Tout d'abord merci pour votre réponse rapide !

J'ai suivi vos instructions et vous envoi le lien du rapport d'exécution ZHPDiag.Txt : © CJoint.com, 2010

Petite précision, le O80 n'a pas pu s'exécuter (plantage) je l'ai donc retiré (est-ce embêtant ou grave ?...)

Merci de votre aide.

Cordialement.

[pear]

Bonjour,

 

Les O80, cela arrive .On va essayer Gmer.

 

Sélectionner(Ctrl A et Ctrl C) toutes les lignes en vert ci dessous(et seulement elles)

 

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} Clé orpheline

[HKCU\Software\FunWebProducts]

O43 - CFD: 12/10/2010 - 09:54:54 - [42051] ----D- C:\Documents and Settings\Propriétaire\Application Data\EoRezo

O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 22/02/2011 - 09:19:31 ---A- . (...) -- C:\Log.txt [0]

O53 - SMSR:HKLM\...\startupreg\ClickPotatoLiteSA [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\ClickPotatoLite\bin\10.0.628.0\ClickPotatoLiteSA.exe

O64 - Services: CurCS - (.not file.) - cportclm (cportclm) .(...) - LEGACY_CPORTCLM

 

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

 

Collez (Ctrl V) les lignes vertes dans le cadre 1

Cliquez ensuite sur-

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" 2.

Acceptez de Redémarrer pour achever le nettoyage.

Un rapport apparait:

Copier-coller le rapport de suppression dans la prochaine réponse.

Si le rapport n'apparait pas, Cliquer sur ce bouton:

 

 

color=#FF0000]Certains émulateurs de CD/DVD peuvent crocheter(Hook) le pilote atapi de façon légitime comme Alcohol xx%,CDSpace,Circle Virtual CD,CloneCD,Daemon Tools,Virtual CloneDrive,Virtual CD,VirtualDrive,

WinCDEmu,et empêchent donc un affichage.

Télécharger DeFogger de Jpshortstuff sur le bureau.

 

Double cliquer sur DeFogger pour démarrer l'outil.

 

La fenêtre de DeFogger apparaît

Cliquer sur le bouton Disable pour désactiver les drivers d'émulateurs CD.

Cliquer sur Yes pour continuer

Un message 'Finished!' apparaîtra

Cliquer sur OK

DeFogger demandera de redémarrer la machine, OK

 

Ne réactivez PAS ces drivers avant la fin de la désinfection

 

Téléchargez sur le bureau

MBR Rootkit Detector 0.2.4 by gmer

Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...)

Vous les réactiverez après la désinfection terminée.

Clic sur l'onglet "rootkit"

Clic sur Scan

- Un rapport sera généré -> mbr.log.

En Copier/coller le résultat dans la réponse .

si votre machine est saine,

Mbr.log vous dit:

Stealth MBR rootkit detector 0.2.4 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

[dan2argeles]

Bonjour,

 

Résultats des manips que vous m'avez conseillé :

 

- exécution de ZHPFix avec les lignes vertes sélectionnées,

- rapport d'exec :

 

Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011

Fichier d'export Registre : C:\ZHPExportRegistry-17-03-2011-13-23-40.txt

Run by Propriétaire at 17/03/2011 13:23:40

Windows XP Home Edition Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

Contact : nicolascoolman@yahoo.fr

 

========== Clé(s) du Registre ==========

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} Clé orpheline => Clé supprimée avec succès

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}] => Clé supprimée avec succès

[HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}] => Clé supprimée avec succès

HKCU\Software\FunWebProducts => Clé supprimée avec succès

O53 - SMSR:HKLM\...\startupreg\ClickPotatoLiteSA [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\ClickPotatoLite\bin\10.0.628.0\ClickPotatoLiteSA.exe => Clé supprimée avec succès

O64 - Services: CurCS - (.not file.) - cportclm (cportclm) .(...) - LEGACY_CPORTCLM => Clé supprimée avec succès

 

========== Elément(s) de donnée du Registre ==========

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Donnée supprimée avec succès

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified => Donnée supprimée avec succès

 

========== Dossier(s) ==========

C:\Documents and Settings\Propriétaire\Application Data\EoRezo => Supprimé et mis en quarantaine

 

========== Fichier(s) ==========

c:\log.txt => Supprimé et mis en quarantaine

c:\program files\clickpotatolite\bin\10.0.628.0\clickpotatolitesa.exe => Fichier absent

 

========== Récapitulatif ==========

6 : Clé(s) du Registre

4 : Elément(s) de donnée du Registre

1 : Dossier(s)

2 : Fichier(s)

 

End of the scan

- Exec DeFogger :

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 13:33 on 17/03/2011 (Propriétaire)

 

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.

 

Checking for services/drivers...

Unable to read sptd.sys

SPTD -> Disabled (Service running -> reboot required)

 

 

-=E.O.F=-

- Exec GMER :

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover

Windows 5.1.2600 Disk: Maxtor_6 rev.VA11 -> Harddisk1\DR1 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

 

 

Voilà, ça parait correct ! mais j'attend que vous me le confirmiez.

En tout cas merci pour votre précieuse aide.

 

Cordialement

[pear]

Je confirme

 

Encore autre chose ?

[dan2argeles]

Re Bonjour,

 

Un grand merci pour ton aide si précieuse et efficace.

Je vais tester pour voir si tout fonctionne correctement, mais d'ores et déjà j'ai retrouvé une fonctionnalité qui avait disparue brutalement à savoir la "mise en veille prolongée" !!! Peux tu me donner quelques conseils pour éviter de retomber dans ce problème car j'ignore ce qui m'a planté !

 

Encore merci.

 

Cordialement.

[pear]

Peux tu me donner quelques conseils pour éviter de retomber dans ce problème car j'ignore ce qui m'a planté !

 

Lorsque vous téléchargez, vérifiez que vous n'avez pas à décocher un lien qui vous installe autre chose( Eorezo, Conduit etc..)

[dan2argeles]

Bonjour Pear,

Merci encore pour le dépannage et pour les conseils pratiques.

Je considère le sujet comme résolu.

Cordialement.