PC lent

[philou4130]

Bonjour à tous,

 

J'ai récupéré pendant cette semaine de vacances une tour Acer (Vista SP2) de connaissances turques, et je me proposais de créer un sujet dans le forum Sécurité.

 

J'ai donc téléchargé ZhpDiag et voulu le faire tourner pour joindre un premier rapport à ma demande.

Mais voilà : dès le tout début du scan (4%) j'ai le message suivant qui apparait :

"Violation d'accès à l'adresse 775E9826 dans le module "ntdll.dll". Ecriture de l'adresse 00407FE8".

Et le scan est bloqué.

 

J'ai un peu regardé sur Google mais n'ai pas trouvé de procédure fiable avec l'OS correspondant.

S'il s'agissait de ma propre machine, je prendrais bien quelques risques, mais avec le matériel des autres, je suis réticent.

J'ai donc posté dans le forum software Vista concernant cette violation d'accès mais sans grand résultat.

Adwcleaner, MalwareBytes et Usbfix que j'ai fait tourner n'ont pas amélioré le processus d'analyse poutant effectué par clic droit en tant qu'administrateur, sans cocher "Tous" après le tournevis, et essayé en mode sans échec avec prise en charge réseau.

Comme je lis souvent que HIJACKTHIS ne vaut plus guère, quel logiciel pourrais-je utiliser pour vous soumettre un premier rapport ?

 

Merci d'avance pour vos conseils.

[pear]

Bonjour,

 

 

Télécharger OTL sur le bureau

Double cliquer sur l'icône

 

 

Si la protection en temps réel de Malwarebytes Anti-Malware est activée..

Il faut absolument la désactiver sous peine de plantage dans MBAM version PRO ou dans MBAM version gratuite si la période d'essai (de 14 jours de la version PRO) est en cours

 

Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

Cochez]----------------->Tous les utilisateurs (scan all users)

Sous Rapport (output)

Cliquez ----------------------------->Rapport Standard (Standard Output)

Sous Régistre Standard(Standard Registry) cocher Tous(All)

Cochez------------------------------> Lop check et Purity check

 

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous, en vert:

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.exe

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

/md5start

AGP440.sys

ahcix86s.sys

alg.exe

atapi.sys

cdrom.sys

cngaudit.dll

csrss.exe

eNetHook.dll

eventlog.dll

explorer.exe

fxssvc.exe

iastorv.sys

IdeChnDr.sys

iesetup.dll

inseng.dll

KR10N.sys

logevent.dll

lsass.exe

locator.exe

msdtc.exe

mshtml.dll

ndis.sys

netlogon.dll

nvatabus.sys

nvata.sys

nvgts.sys

nvstor.sys

nvstor32.sys

pngfilt.dll

rdpclip.exe

SafeBoot.sys

scecli.dll

sceclt.dll

spoolsv.exe

snmptrap.exe

sppsvc.exe

taskhost.exe

taskeng.exe

tcpip.sys

UI0Detect.exe

usbscan.sys

usbprint.sys

userinit.exe

vaxscsi.sys

vds.exe

viamraid.sys

ViPrt.sys

volsnap.sys

vssvc.exe

WatAdminSvc.exe

wbengine.exe

webcheck.dll

wininit.exe

winlogon.exe

WmiApSrv.exe

wmpnetwk.exe

wscntfy.exe

/md5stop

 

CREATERESTOREPOINT

 

Clic sur Analyse

une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir

[philou4130]

Bonsoir Pear,

 

Merci d'avoir pris ce sujet en charge.

 

Voici les deux rapports demandés :

 

OTL.txt : Lien CJoint.com BDlsL7eV4Gb

 

Extras.txt : Lien CJoint.com BDlsF4TLgVH

 

L'analyse a pris plus d'une heure, c'est peut-être normal.

Je voulais aussi vous signaler qu'OTL est resté un moment avec "(Ne répond pas)" avant de continuer.

 

Dernière chose, je vois en raccourci sur le bureau "mbrcheck" et il demande à faire des mises à jour sur Pc Tool, je les ai postposées, outils qui ne me rassurent guère. Pour information.

 

J'attends vos instructions.

Bonne fin de journée.

[pear]

Pas grand chose:

 

Relancez Otl:

 

Sous Custom scan Files ou Personnalisation

Copiez Collez

:Otl

PRC - [2008/07/22 18:50:23 | 002,641,920 | ---- | M] (pdfforge http://www.pdfforge.org/) -- C:\Program Files\PDFCreator\PDFCreator.exe

SRV - [2010/01/14 21:04:58 | 000,069,120 | ---- | M] (BOONTY) [On_Demand | Stopped] -- C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe -- (Boonty Games)

[2008/12/18 17:35:13 | 000,000,000 | ---D | M] (SearchTheWeb) -- C:\Program Files\Mozilla Firefox\extensions\searchtheweb@iminent

File not found (No name found) -- C:\PROGRAM FILES\MYWEBSEARCH\BAR\FIREFOX

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O18 - Protocol\Handler\bwfile-8876480 {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Users\Gül\8876480\Program\GAPlugProtocol-8876480.dll File not found

 

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

""=""%1" %*"

 

:files

 

[purity]

[emptytemp]

[resethosts]

[Reboot]

-------->Cliquer Runfix ou Correction

 

OTL redémarrera le système automatiquement.

Postez le rapport.

 

 

 

Je n'ai pas compris de quoi il s'agit à propos de Mbrcheck.

[philou4130]

Bonjour Pear,

 

Voici le rapport Otl demandé :

 

All processes killed

========== OTL ==========

No active process named PDFCreator.exe was found!

Service Boonty Games stopped successfully!

Service Boonty Games deleted successfully!

C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe moved successfully.

C:\Program Files\Mozilla Firefox\extensions\searchtheweb@iminent\defaults\preferences folder moved successfully.

C:\Program Files\Mozilla Firefox\extensions\searchtheweb@iminent\defaults folder moved successfully.

C:\Program Files\Mozilla Firefox\extensions\searchtheweb@iminent\content folder moved successfully.

C:\Program Files\Mozilla Firefox\extensions\searchtheweb@iminent folder moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\bwfile-8876480\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9462A756-7B47-47BC-8C80-C34B9B80B32B}\ deleted successfully.

File {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Users\Gül\8876480\Program\GAPlugProtocol-8876480.dll File not found not found.

========== REGISTRY ==========

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\\""|""%1" %*" /E : value set successfully!

========== FILES ==========

File\Folder [purity] not found.

File\Folder [emptytemp] not found.

File\Folder [resethosts] not found.

File\Folder [Reboot] not found.

 

OTL by OldTimer - Version 3.2.39.2 log created on 04112012_195148

 

Files\Folders moved on Reboot...

 

Registry entries deleted on Reboot...

 

C'est finalement une bonne nouvelle de savoir qu'il n'y a pas grand chose.

 

Quant à Mbrcheck, je comprends que vous ne compreniez pas : je viens seulement de remarquer que ce raccourci appartenaît à Zhpdiag

 

J'attends une éventuelle nouvelle instruction de votre part.

Je vais pour ma part un peu regarder dans les processus qui se lancent au démarrage.(75 processus, 47 % mémoire)

 

Bonne journée à vous.

[pear]

Je vais pour ma part un peu regarder dans les processus qui se lancent au démarrage.(75 processus, 47 % mémoire)

 

Bonne idée.

 

Ce sont les lignes 04 du rapport Otl:

 

Acer tour, Adobe, Quicktime ,entre autres ,ne servent à rien au démarrage.

Bon courage.

 

Si ça peut vous aider:

Le programme cible seulement les démarrages inutiles et ignore ceux en relation avec les unités et pilotes matériels, les programmes de protection ou un programme qu'il semble évident qu'un technicien l'aura mis en démarrage automatique.

De même, le programme ne détecte pas les démarrages liés à des malwares et il n'est pas conçu pour cela.

En outre, quand le bouton Begin est cliqué, il y a quelques démarrages légitimes non nécessaires si on en trouve, le programme va automatiquement les enlever sans rien demander préalablement à l'utilisateur.

Ces démarrages sont considérés comme complètement sans utilité et il n'y a aucune raison pour que quelqun en ait besoin un jour.

Exemples de démarrages inutiles qui mangent les ressources de l'ordinateur sans aucun bénéfice direct:

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" <- AFAIK ça n'a pas apporté de différence décelable lorsqu'on lance adobe

 

 

 

Télécharger Startups@Ease

 

Au démarrage cliquez Startups

 

 

Le logiciel recherche les fichiers inutiles et vous demande de cocher votre choix:

Le programme ayant sa propre base de données de démarrages non nécessaires ,il n'y a pas à se connecter à l'internet.

Il est conseillé de lui faire confiance et cocher Yes.

D'autant que en cas de regrets,il suffira de cliquer Restore startups pour que ces démarrages sans utilité soient aussitôt restaurés

 

Un redémarrage est nécessaire pour que ce soit pris en compte.

On ne peut pas faire plus simple.

Modifié le 12 avril 2012 par pear

[philou4130]

Merci Pear.

 

Je vais m'y coller ce week-end.

Je vous tiens au courant. Bon week-end à vous.