[Résolu] Serait-ce Babylon ?

[Akito]

Bonjour à tous,

Premier message sur ce forum, et j'avoue que j'aurais préféré venir dans d'autres conditions.

Mais c'est ainsi. Voilà mon soucis, ma tantine se plaint que son ordi est super lent au démarrage et pas que.

Total, c'est moi qui hérite de son précieux, et j'avoue que c'est quand même très lent.

Plus sérieusement, l'ordi est protégé par Avast 6. J'y ai fait la mise à jour des logiciels et pilotes, j'ai remplacé spybot par malware...

J'ai lancé malware, en mode rapide, et meme en complet. Le rapport sort, zéro soucis, aucune infection.

J'ai téléchargé ZHP et son copain dial. Je crois que le plus simple est encore de vous mettre le rapport complet...

Rapport ZHPDial

 

J'ai passé ce rapport à l'analyse de ZHP et il me sort deux malwares en résultat. Le premier est babylon, le second CBA, mais j'ai plutôt l'impression qu'il s'agit du logiciel de gestion et de télétransmission pour infirmières qu'utilise ma tante. Un faux positif ?

 

Enfin voilà, si vous pouviez m'aider à redonner une seconde jeunesse à ce laptop pas si vieux, ce serait bien gentil de votre part.

 

Merci d'avance pour votre aide,

Nicolas.

[tomtom95]

Bonjour Akito et bienvenue sur ZEB

 

Quelques conseils avant de commencer

Important : Pense en haut de ce message à cliquer sur le bouton "Suivre ce sujet"

en choisissant "Notification immédiate"

 

S.T.P: n'utilise pas d'autre outils ou ne désinstalle pas des programmes

seulement ceux qui te sont notifier pour éviter tout problème .

 

Enregistre :toujours les outils sur ton bureau

Bien lire les indications:

et si tu rencontre des problèmes n'hésiter pas à me le signaler avant d'effectuer une manip.

 

Au sujet de CBA oui il semble que c'est un faux positif

https://www.cbainfo.fr/index.php

 

Pour optimiser un peu le pc ,tu peux désactiver des programmes au démarrage automatique de windows.

Et tu as des mises a jour a faire.

 

Des logiciels comme PC-Doctor pas trés utile a désinstaller

 

 

• Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus et anti-spyware)
  
• Double-clique sur ZHPFix Un raccourci installé par ZHPDiag sur le Bureau
   
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur
  
   
  Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier" ou "Ctrl+C"
  ces lignes ci dessous :
   

  O39 - APT:Automatic Planified Task - C:\Windows\Tasks\PCDoctorBackgroundMonitorTask.job
  O39 - APT:Automatic Planified Task - C:\Windows\Tasks\SystemToolsDailyTest.job
  [MD5.00000000000000000000000000000000] [APT] [PCDoctorBackgroundMonitorTask] (...) -- C:\Program Files\Dell Support Center\uaclauncher.exerunsilently (.not file.)
  [HKCU\Software\Babylon]
  [HKLM\Software\Eset]
  [HKLM\Software\McAfee.com]
  O43 - CFD: 16/10/2011 - 15:08:22 - [2884779] ----D- C:\Program Files\Spybot - Search & Destroy
  O43 - CFD: 28/10/2010 - 16:48:06 - [11372] ----D- C:\ProgramData\McAfee
  O43 - CFD: 16/10/2011 - 15:08:22 - [8531] ----D- C:\ProgramData\Spybot - Search & Destroy
  O44 - LFC:[MD5.16D06DC26B8BD160AD81EE271D9577D8] - 10/04/2009 - 20:43:38 ---A- . (...) -- C:\Windows\system32\onex.tmf [392170]
  O44 - LFC:[MD5.B51BF7934D2B657454F66035AA5BFA03] - 10/04/2009 - 17:54:26 ---A- . (...) -- C:\Windows\system32\locale.nls [3662128]
  O64 - Services: CurCS - ??/??/???? - C:\PROGRA~1\DELLSU~1\HWDiag\bin\PCD5SRVC.pkms (.not file.) - PCD5SRVC{3F6A8B78-EC003E00-05040104} - PCDR Kernel Mode Service Helper Driver (PCD5SRVC{3F6A8B78-EC003E00-05040104}) .(...) - LEGACY_PCD5SRVC{3F6A8B78-EC00
  SS - | Demand 0 | (PCD5SRVC{3F6A8B78-EC003E00-05040104}) . (...) - C:\PROGRA~1\DELLSU~1\HWDiag\bin\PCD5SRVC.pkms
   
  FirewallRAZ
  EmptyTemp
  EmptyFlash
  HOSTFix
  

• Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la "malette cachée par la feuille" .
   
  
• Vérifie que toutes les lignes que je t'ai demandé de copier sont dans la fenêtre.
  
• Et seulement ces lignes
  
• Puis clique sur le bouton [OK]
  
• A ce moment apparaîtra au début de chaque ligne
  une petite case vide. [ ]
  
• Ensuite clique sur Tous puis sur Nettoyer
  
• Valide par Oui la désinstallation des programmes si demandé
  
• Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
   
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

 

Télécharge RogueKiller (par tigzy). sur le bureau

• .
  
• IMPORTANT:Quitte tous tes programmes en cours
  
• Lance RogueKiller.exe.Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur.
  tape 1 recherche et valide
  
• Un rapport (RKreport.txt) a du se créer à côté de l'exécutable
  colle son contenu dans la réponse

 

A+

[Akito]

Bonjour tomtom95 et merci énormément pour la démarche à suivre.

 

Ci-joint les rapports demandés.

 

Celui de ZHPfix:

Rapport de ZHPFix 1.12.3363 par Nicolas Coolman, Update du 05/10/2011

Fichier d'export Registre :

Run by Françoise at 17/10/2011 18:05:55

Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

Web site : ZHPFix Fix de rapport

 

========== Clé(s) du Registre ==========

SUPPRIME Key: HKCU\Software\Babylon

SUPPRIME Key: HKLM\Software\Eset

SUPPRIME Key: HKLM\Software\McAfee.com

ABSENT Key: Service Legacy: LEGACY_PCD5SRVC{3F6A8B78-EC00

SUPPRIME Key: Service: PCD5SRVC{3F6A8B78-EC003E00-05040104}

 

========== Valeur(s) du Registre ==========

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

SUPPRIME FirewallRaz (None) : {BD7F867A-12EF-44F7-826A-63C66835D07C}

SUPPRIME FirewallRaz (Private) : TCP Query User{F09F126B-527C-4980-BB62-46B755F9344D}C:\program files\mozilla firefox\firefox.exe

SUPPRIME FirewallRaz (Private) : UDP Query User{675C7F32-936D-4300-BD99-6E6D6AED1DFC}C:\program files\mozilla firefox\firefox.exe

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\Program Files\Spybot - Search & Destroy

SUPPRIME Folder: C:\ProgramData\McAfee

SUPPRIME Folder: C:\ProgramData\Spybot - Search & Destroy

SUPPRIME Temporaires Windows: : 13

SUPPRIME Flash Cookies: 4

 

========== Fichier(s) ==========

SUPPRIME File: c:\windows\tasks\pcdoctorbackgroundmonitortask.job

SUPPRIME File: c:\windows\tasks\systemtoolsdailytest.job

SUPPRIME Reboot c:\windows\system32\onex.tmf

SUPPRIME Reboot c:\windows\system32\locale.nls

ABSENT File: c:\progra~1\dellsu~1\hwdiag\bin\pcd5srvc.pkms

SUPPRIME Temporaires Windows: : 57

SUPPRIME Flash Cookies: 2

 

========== Tache planifiée ==========

SUPPRIME Task: PCDoctorBackgroundMonitorTask

 

 

========== Récapitulatif ==========

5 : Clé(s) du Registre

5 : Valeur(s) du Registre

5 : Dossier(s)

7 : Fichier(s)

1 : Tache planifiée

 

 

End of clean in 00mn 05s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 17/10/2011 18:05:55 [1982]

 

Puis celui de Roguekiller :

 

RogueKiller V6.1.3 [14/10/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/36)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Françoise [Droits d'admin]

Mode: Recherche -- Date : 17/10/2011 18:18:42

 

Processus malicieux: 0

 

Entrees de registre: 2

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

Fichiers / Dossiers particuliers:

 

Driver: [LOADED]

 

Fichier HOSTS:

127.0.0.1 localhost

::1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1001namen.com

127.0.0.1 www.1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

[...]

 

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

Voilà, si c'est bon, je passe aux mises a jour et au dégraissage du bourrin

 

Merci encore pour ton aide.

[tomtom95]

Relance Roguekiller

 

• IMPORTANT:Quitte tous tes programmes en cours
  
• Lance RogueKiller.exe.Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur.
  tape 2 suppression et valide
  
• Un rapport (RKreport.txt) a du se créer à côté de l'exécutable
  colle son contenu dans la réponse.

 

C'est toi qui a modifier le fichiers HOSTS ??

 

A+

[Akito]

Re,

 

Alors voici le rapport de rogue :

 

RogueKiller V6.1.3 [14/10/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/36)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Françoise [Droits d'admin]

Mode: Suppression -- Date : 17/10/2011 21:14:16

 

Processus malicieux: 0

 

Entrees de registre: 2

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED ()

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED ()

 

Fichiers / Dossiers particuliers:

 

Driver: [LOADED]

 

Fichier HOSTS:

127.0.0.1 localhost

::1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1001namen.com

127.0.0.1 www.1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

[...]

 

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

Pour ce qui est du fichier hosts, j'ai été voir dans le fichier en lui meme et c'est écrit que ce sont des entrées spybot.

 

Merci,

akito

[tomtom95]

Oui c'est bien ce que je pensais.

On va le remettre par défaut

Télécharge . MyHosts.exe ( par Jeanmimigab ) sur ton bureau

Double-clique sur l'icône de MyHosts qui se trouve sur ton bureau.

Pour vista et seven fais un clique droit Exécuter en tant qu'administrateur

Le rapport " MyHosts.txt " s'ouvre

Copie son contenu et poste-le sur le forum.

Tu peux le retrouver à la racine de ton disque système (C:\MyHosts.txt)

 

Dit moi comment ce comporte le pc ?

 

A+

[Akito]

héhé, ben quoi fut une époque spybot semblait être une référence non ? Tsss, si on peut même plus faire confiance aux outils sensés nous protéger... hihi

 

Trève de plaisanterie, voici le rapport :

 

** Rapport MyHosts.txt **

 

MyHosts V.1.0.0.2 de jeanmimigab

 

Merci à la team MH, W-T ,C_XX, Laddy et à Batch_man pour leurs aides

 

Résultat de l'opération:restauration du fichier hosts réussi...

 

** Fin du rapport **

 

J'imagine que la décontamination touche à sa fin...

Je peux d'ores et déjà affirmer que ça gratte vachement moins sur le disque dur.

Avant de lui rendre son précieux, je vais faire le ménage et les mises à jour comme recommandé.

J'ai juste une dernière question, dans le centre de sécurité, rubrique firewall, j'ai d'indiqué que le pare feu Windows ainsi que Mcafee Personal firewall sont tous deux activés. Ça m’embête car je n'ai aucune trace de Mcafee dans les logiciels installés...

D'ailleurs la situation est similaire pour la rubrique protection contre les logiciels malveillants > sous-rubrique "protection contre les logiciels espions et autres programmes malveillants" : cette fois j'ai a la fois windows defender et avast.

Dois-je laisser tel quel ? (Peut-être cette question relève de l'autre forum sur la prévention ?)

 

En tout cas merci infiniment

 

** edit **

Je viens de vérifier le moniteur de fiab, un indice très simple, le % de temps d'activité maximale du disque est tout bonnement passé de 100% a 0%. A l'arrivée je ne sais pas ce qu'avait le pc, mais en tout cas ça excitait searchindexer

Modifié le 17 octobre 2011 par Akito

[tomtom95]

Pour moi tu n'as que le firewall de windows qui est fonctionnel sur ton ordinateur.

Par contre je ne comprend pas ?

"protection contre les logiciels espions et autres programmes malveillants" :

cette fois j'ai a la fois windows defender et avast.

 

Désoler je viens de voir que c'est avast ton antivirus ,et non McAfee

Il faut désinstaller les reste de McAfee

 

Tu as désactiver des programmes du démarage automatique de windows ?

 

désinstallation des outils, il ne sert a rien de les garder les outils, ils sont mis régulièrement a jour, et ne sutilise que dans des cas bien précis, sinon ils y a de grand risque de rendre son pc encore plus instable.

 

 

• Télecharge sur le site

DelFix (de Xplode) sur ton Bureau
 
Choisis l'option "Recherche"
Valide sur Entrée
Laisse travailler l'outil
Copie/colle le rapport obtenu
 
Relance Delfix
 
Choisis l'option "Suppression"
Valide sur Entrée
Laisse travailler l'outil
Copie/colle le rapport obtenu
 
Supprime DelFix ainsi que les autres outils restant éventuellement sur le bureau.

 

• Tu va supprimer tes anciennes points de sauvegarde du pc :
  Après une désinfection
  il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés.
  
• Clique sur le bouton démarrer faîtes un clique droit sur "ordinateur" puis clique sur "Propriétés" :
  
• Clique ensuite sur l'onglet "Protection du système
   
  
• DéCoche la ou les cases Pour désactiver la restauration du système :
  
• Une alerte t'informera que tous les points vont être supprimés. Clique sur « désactiver la restauration système ».
  
• Clique sur appliquer ,et ok
  
• Pour réactiver la restauration système
  il suffit de cocher à nouveau la cases du lecteur.
  
• Ensuite Créer un nouveau point de restauration sain
  
• Clique sur créer donne un nom (ex: point sain) et clique sur créer .

 

 

POST les rapports DELFIX stp

 

**********************************************************

• Derniers conseils
  Pour des raisons de sécurité pour ton pc vérifie tes mise a jour
   
  
• Sun java Runtime Version 6 Update 27
  http://www.java.com/fr/download/windows_ie.jsp?locale=fr&host=www.java.com:80
   
  
• Flash player 11.0.1.152 ( décoche avant le téléchargement la case de la barre google)
  http://get.adobe.com/fr/flashplayer/
   
  Va sur Microsoft Update pour Récupérez les dernières mises à jour disponibles pour ton système d'exploitation

 

A+

Modifié le 17 octobre 2011 par tomtom95

[tomtom95]

Télécharge SEAF.exe de C_XX

http://www.teamxscript.org/SEAFTelechargement.html

Enregistre-le sur le Bureau

 

• Double clique sur SEAF.exe OU (Exécuter en tant qu'administrateur pour Vista/7) .
  Une fenêtre va s'ouvrir .
  
   
  
• 1 - Dans la fenêtre de recherche tape McAfee
  
• 2 - Dans [ Options des fichiers ] Sélectionne MD5 pour Calculer le ckecksum et coche les 3 cases en-dessous
  
• 3 - Dans [ Options du registre ] coche Chercher également dans le registre
  
• 4 -Puis clique sur lancer la recherche
   
  Patiente pendant la recherche.
  Lorsque la recherche est terminée
  une fenêtre apparaît.
  Clique sur Non
  Une fenêtre va s'afficher avec un log.txt .
  Le rapport est enregistré ici C:\SeafLog.txt.
  Dans ta prochaine réponse Copie/colle ce rapport stp.

[Akito]

Oula, avant de faire tout ce que tu m'as dit, je voudrais etre sur de comprendre :

Tu dis que Avast doit être désinstallé ? Mais ce serait quoi alors l'antivirus ? Defender ? J'aurais jamais cru que crosoft en serait venu a nous offrir un antivirus. La pour le coup j'ai l'air d'un extra terrestre qui vient d'atterir sur la planete windows, mais la dernière fois que j'ai utilisé un PC....

 

Par ailleurs tu demandes si j'ai désactivé des programmes du démarrage automatique de windows : la non j'ai démarré en mode normal. Mais quand j'ai récupéré l'ordi j'ai démarré en mode sélectif de msconfig en décochant "charger les elements de démarrage et dans service en virant tout ce qui n'etait pas microsoft : "masquer tous les services microsoft" et décocher tout".

C'est après cette étape la que j'ai cherché du coté des malwares.

 

 

Pour moi tu n'as que le firewall de windows qui est fonctionnel sur ton ordinateur.

Par contre je ne comprend pas ?

 

Tu as encore avast? Bizarre Il faut qu'un seule antivirus sur un pc donc a désinstaller..

 

Tu as désactiver des programmes du démarage automatique de windows ?

 

PS : ton lien pour SEAF semble mort :'(

Modifié le 17 octobre 2011 par Akito