[Résolu] Contrôles ActiveX bien trop présents...

[nanette234]

Bonjour à tous !

 

Le fils d'un ami m'a demandé d'examiner son PC qui est devenu subitement très lent : Rapport Everest

 

J'ai commencé par télécharger (laborieusement) Malwarebytes, lancer un scan qui a duré 20 heures ! Pour finalement planter avant la fin 1er Rapport Mbam

J'ai ensuite examiné le gestionnaire de tâches pour tenter de trouver les processus qui mangeaient toute l'UC, sans grand succès.

 

J'ai téléchargé ensuite CCleaner (dommage, j'ai oublié de créer le rapport). Mais j'ai désinstallé pas mal de programmes et notamment des contrôles ActiveX, une bonne vingtaine, Windows Live Mesh connexions à distance, tous les mêmes, mais dans des langues différentes.

 

Ce qui à permis de réduire considérablement la saturation de l'UC et de récupérer une utilisation plus appréciable.

 

J'ai pu alors effectuer un deuxième scan Malwarebytes plus probant: 2ème Rapport Mbam

 

J'ai ensuite désinstallé Kaspersky Lab 2011 qui arrivait à expiration pour le remplacer par Antivir 2012 : j'ai tenté de lancer un Scan intégral après la mise à jour mais rien ne s'est passé, la planification n'a pas fonctionné non plus, j'ai tenté alors manuellement, mais la loupe en mode administrateur ne veux rien savoir, l'autre en revanche fonctionne (cela change-t-il vraiment quelque chose ?)

Le scan s'est lancé (avec détections des rootkits) et s'est stoppé pour m'alerter :

 

 

Image : Capture.PNG

 

Sauf que je n'ai pas de CD de secours… Que dois-je faire maintenant ?

Merci d'avance de vos précieux conseils.

Modifié le 8 mars 2012 par nanette234

[Apollo]

Bonjour,

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

 

Et coche les 2 options supplémentaires:

 

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

++

[nanette234]

Bonsoir Apollo,

 

Et merci pour ton aide,

 

Je poste le Rapport TDSSKiller, Mais seul le service stpd (lié à Daemon tool) à été trouvé.

 

J'attends tes instructions pour la suite.

[Apollo]

Re,

 

1) Télécharge TFC par OldTimer et enregistre-le sur le bureau.

 

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

 

~~~~~~~~~~~~~~~~~~~~~~

2) MBAM: Ne pas accepter la proposition d'essai de la version Pro sous peine de conflits.

 

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

|MG| Malwarebytes Anti-Malware 1.60.1.1000 Download

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide."
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[nanette234]

Re bonsoir Apollo,

 

et merci

 

Voici le dernier rapport Mbam

Par contre petite précision : j'ai installé la version d’essai il y a environ 1 semaine, j’espère que cela ne faussera pas les résultats!

[Apollo]

Non, du tout mais par exemple avec Kasper Internet security, il y aurait conflit because les mêmes fonctions du résident. A tout hasard, l'image iso pour graver le fameux cd live dont parle Antivir est téléchargeable ici: Download Avira AntiVir Rescue System

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse. OU >>
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

 

@++

[nanette234]

Voici le Rapport ZHPDiag

[Apollo]

Re,

 

1) Télécharge AdwCleaner par Xplode: Les Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

-------------------------

2) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

AD-Remover

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Nettoyer

 

 

Le rapport se trouve aussi sous C:\Ad-Report Clean.

Copie/colle-le dans ta réponse stp.

 

 

@++

[nanette234]

Raport ADWCleaner et Rapport AD-R

[Apollo]

Ok,

 

Du mieux?

 

 

Fais un nouveau scan ZHPDiag stp et héberge le rapport.

 

Merci. @++