Suspicion d'infection

[Zhale]

Bonjour

 

d'après TONTON mon pc est infecté. Cela provoque un ralentissement énorme de mon pc, celui ci met 30 minutes à s'allumer et pareil pour s'éteindre.

Dès que je veux lancer un programme, il rame comme pas possible.

 

Voici les liens necessaires

 

lien avec le sujet d'origine

Windows 7 rame - Forums Zebulon.fr

 

lien direct avec le log ZHPDiag

pjjoint.malekal.com - Submit a file

 

 

Grand merci à l'helper qui m'aidera

[pear]

Bonjour,

 

1)Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H-

 

M3 - MFPP: Plugins - [Ziouche] -- C:\Users\Ziouche\AppData\Roaming\Mozilla\Firefox\Profiles\8yfrtfmb.default\searchplugins\web-search.xml => Infection BT (Parasite.Pugi)

O43 - CFD: 16/06/2011 - 15:17:37 - [3,465] ----D C:\Program Files (x86)\Viewpoint => Infection PUP (Adware.MetaStream)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] => Infection BT (Spyware.BHO)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] => Infection BT (Spyware.BHO)

[HKCU\Software\Grand Virtual] => Infection PUP (PUP.GrandVirtual)

[HKLM\Software\WOW6432Node\MetaStream] => Infection PUP (Adware.MetaStream)

C:\Program Files (x86)\Viewpoint => Infection PUP (Adware.MetaStream)

C:\Users\Ziouche\AppData\Roaming\Mozilla\Firefox\Profiles\8yfrtfmb.default\SearchPlugins\web-search.xml => Infection BT (Parasite.Pugi)

O4 - Global Startup: C:\Users\Ziouche\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\PokerStars.fr.lnk . (.PokerStars.) -- C:\Program Files (x86)\PokerStars.FR\PokerStarsUpdate.exe

[MD5.00000000000000000000000000000000] [APT] [{E102DBEA-CF7D-4014-B69F-72B3EA3C0729}] (...) -- C:\Program Files (x86)\InstallShield Installation Information\{AF7E85DC-317C-47F5-810E-B82EE093A612}\setup.exe (.not file.) => Fichier absent

O43 - CFD: 16/06/2011 - 14:34:05 - [23,249] ----D C:\Program Files (x86)\BetClic Poker.fr

O43 - CFD: 08/07/2012 - 22:26:32 - [27,737] ----D C:\Program Files (x86)\Everest Poker.fr => Online Game

O43 - CFD: 11/11/2011 - 16:07:20 - [84,203] ----D C:\Program Files (x86)\PokerStars.FR => PartyGaming PokerStars

O43 - CFD: 17/11/2009 - 21:11:19 - [1,446] ----D C:\ProgramData\Partner => Game

O43 - CFD: 12/08/2012 - 00:41:54 - [1,899] ----D C:\Users\Ziouche\AppData\Local\PokerStars.FR => PartyGaming PokerStars

O43 - CFD: 23/02/2012 - 12:55:12 - [0] ----D C:\Users\Ziouche\AppData\Local\{043FEAAA-EE53-4DF1-A4EB-C7A89CD4920B} => Empty Folder not necessary

O43 - CFD: 11/07/2012 - 14:43:10 - [0] ----D C:\Users\Ziouche\AppData\Local\{307CAD45-9074-4B21-AB70-4E473615706A} => Empty Folder not necessary

O43 - CFD: 09/02/2012 - 21:03:12 - [0] ----D C:\Users\Ziouche\AppData\Local\{4764CE75-358B-43CF-8CE9-36125AEAC3A9} => Empty Folder not necessary

O43 - CFD: 21/06/2011 - 23:20:07 - [0] ----D C:\Users\Ziouche\AppData\Local\{4F72CDCF-4326-4CB3-80A6-62EFA6E2AA3F} => Empty Folder not necessary

O43 - CFD: 05/12/2011 - 19:13:37 - [0] ----D C:\Users\Ziouche\AppData\Local\{523F845C-BAA6-46A5-A70A-62FC3A5CFC74} => Empty Folder not necessary

O43 - CFD: 09/02/2012 - 21:05:03 - [0] ----D C:\Users\Ziouche\AppData\Local\{5636A630-27CB-479C-8C60-F2EA2E4903A2} => Empty Folder not necessary

O43 - CFD: 23/02/2012 - 12:55:22 - [0] ----D C:\Users\Ziouche\AppData\Local\{AC907E59-ECEE-413C-8111-196932A208A4} => Empty Folder not necessary

O43 - CFD: 08/02/2012 - 20:29:03 - [0] ----D C:\Users\Ziouche\AppData\Local\{ACF9D3F6-7A8E-4EF3-8BEC-492370D5D32B} => Empty Folder not necessary

O43 - CFD: 09/02/2012 - 21:04:53 - [0] ----D C:\Users\Ziouche\AppData\Local\{B06702F9-F52C-4E9D-A2A0-7B375888E3CF} => Empty Folder not necessary

O43 - CFD: 09/02/2012 - 21:03:22 - [0] ----D C:\Users\Ziouche\AppData\Local\{B34AE338-8DF8-48E6-99B7-AD971A1131F3} => Empty Folder not necessary

O43 - CFD: 08/02/2012 - 20:28:32 - [0] ----D C:\Users\Ziouche\AppData\Local\{BB5BBD8C-F22E-4CB7-9F8B-9FB04F56C083} => Empty Folder not necessary

O43 - CFD: 08/02/2012 - 19:54:36 - [0] ----D C:\Users\Ziouche\AppData\Local\{CB30A6D2-01DD-46B2-83D3-2A05A5C11D3A} => Empty Folder not necessary

O43 - CFD: 08/02/2012 - 20:28:33 - [0] ----D C:\Users\Ziouche\AppData\Local\{CCC37911-A403-478A-A71E-2776172221C9} => Empty Folder not necessary

O43 - CFD: 12/12/2011 - 21:36:16 - [0] ----D C:\Users\Ziouche\AppData\Local\{CE576DCB-D353-44E2-AC98-CED688C92679} => Empty Folder not necessary

O43 - CFD: 08/02/2012 - 20:11:01 - [0] ----D C:\Users\Ziouche\AppData\Local\{D465F816-3F58-4DFC-AF05-5B669BBF63C4} => Empty Folder not necessary

O43 - CFD: 08/02/2012 - 20:29:12 - [0] ----D C:\Users\Ziouche\AppData\Local\{E3372A2F-4A02-4FF8-90F3-0D50677DD685} => Empty Folder not necessary

O43 - CFD: 16/06/2011 - 14:34:05 - [23,249] ----D C:\Program Files (x86)\BetClic Poker.fr

O43 - CFD: 08/07/2012 - 22:26:32 - [27,737] ----D C:\Program Files (x86)\Everest Poker.fr => Online Game

O43 - CFD: 11/11/2011 - 16:07:20 - [84,203] ----D C:\Program Files (x86)\PokerStars.FR => PartyGaming PokerStars

O51 - MPSK:{b5244d73-2fa2-11e1-a3d4-90fba64bcabf}\AutoRun\command. (...) -- K:\Startme.exe (.not file.) => Fichier absent

[HKCU\Software\PartyFrance] => Casino.OnlineGames

 

 

SysRestore

EmptyFlash

EmptyTemp

FirewallRaz

Proxyfix

Hostfix

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur

Copier-coller le rapport de suppression dans la prochaine réponse.

 

 

 

2)Vérifier et réparer les fichiers système Vista/7 sans le cd

 

Démarrer->Tous les)Programmes->Accessoires -> Invite de commandes.

Choisissez Exécuter en tant qu'Administrateur.

Copiez-collez dans la fenêtre de commandes,:

sfc /scannow

 

Patientez le temps de l'analyse.

Windows vous dira s'il a pu réparer ou non

Redémarrer

 

Vérificateur des fichiers système pour résoudre les problèmes des fichiers système manquants ou endommagés sur Windows Vista ou Windows 7

[Zhale]

Pour la 1ere partie voici le rapport:

 

Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012

Fichier d'export Registre :

Run by Ziouche at 15/08/2012 19:50:51

Windows 7 Home Premium Edition, 64-bit (Build 7600)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Clé(s) du Registre ==========

SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}

SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}

SUPPRIME Key*: HKCU\Software\Grand Virtual

SUPPRIME Key*: HKLM\Software\WOW6432Node\MetaStream

SUPPRIME CLSID MPSK: {b5244d73-2fa2-11e1-a3d4-90fba64bcabf}

SUPPRIME Key*: HKCU\Software\PartyFrance

 

========== Valeur(s) du Registre ==========

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

SUPPRIME FirewallRaz (None) : {56E32F35-3E84-4CD6-BF1E-06A5F210CA55}

SUPPRIME FirewallRaz (Private) : TCP Query User{1B420750-821C-40FF-9697-D53EF5D4DA23}C:\program files (x86)\java\jre6\bin\javaw.exe

SUPPRIME FirewallRaz (Private) : UDP Query User{6A11E672-1AEB-4FB5-AA7C-4C70B428D2E2}C:\program files (x86)\java\jre6\bin\javaw.exe

SUPPRIME FirewallRaz (Public) : {011DA6B9-5A25-4564-8FA7-8D4E7132180E}

SUPPRIME FirewallRaz (Public) : {0AD06ACC-08C5-4133-A88C-259B6F929C51}

SUPPRIME FirewallRaz (Public) : TCP Query User{8CA14EA6-CB14-4771-AD11-599DB2151DC2}C:\program files (x86)\java\jre6\bin\javaw.exe

SUPPRIME FirewallRaz (Public) : UDP Query User{F80347D1-B0C0-4353-8C53-77774C4CAE1B}C:\program files (x86)\java\jre6\bin\javaw.exe

SUPPRIME FirewallRaz (Public) : TCP Query User{24D3190C-1FFF-4573-B102-569BDC4A8693}C:\program files (x86)\mass effect 2\binaries\masseffect2.exe

SUPPRIME FirewallRaz (Public) : UDP Query User{3D77A2F1-C821-45A2-8718-ECAF667BB94A}C:\program files (x86)\mass effect 2\binaries\masseffect2.exe

SUPPRIME FirewallRaz (Public) : TCP Query User{E2CA4AEF-1A97-44D6-ACFE-F736F36F63C5}C:\program files (x86)\java\jre6\bin\java.exe

SUPPRIME FirewallRaz (Public) : UDP Query User{70022F04-EB3D-40D8-A26C-9ECEFD8892BC}C:\program files (x86)\java\jre6\bin\java.exe

SUPPRIME FirewallRaz (Public) : TCP Query User{89F79EBB-1128-44EC-B488-9FFDEF9E9CDC}K:\films\jj\batman\batman.arkham.city-aricovert\binaries\win32\batmanac.exe

SUPPRIME FirewallRaz (Public) : UDP Query User{246E24DE-F3FD-49F8-8EDF-79130C617E7F}K:\films\jj\batman\batman.arkham.city-aricovert\binaries\win32\batmanac.exe

ProxyFix : Configuration proxy supprimée avec succès

SUPPRIME ProxyServer Value

SUPPRIME ProxyEnable Value

SUPPRIME EnableHttp1_1 Value

SUPPRIME ProxyHttp1.1 Value

SUPPRIME ProxyOverride Value

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\Program Files (x86)\Viewpoint

SUPPRIME Folder: C:\Program Files (x86)\BetClic Poker.fr

SUPPRIME Folder: C:\Program Files (x86)\Everest Poker.fr

SUPPRIME Folder: C:\Program Files (x86)\PokerStars.FR

SUPPRIME Folder: C:\ProgramData\Partner

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\PokerStars.FR

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{043FEAAA-EE53-4DF1-A4EB-C7A89CD4920B}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{307CAD45-9074-4B21-AB70-4E473615706A}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{4764CE75-358B-43CF-8CE9-36125AEAC3A9}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{4F72CDCF-4326-4CB3-80A6-62EFA6E2AA3F}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{523F845C-BAA6-46A5-A70A-62FC3A5CFC74}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{5636A630-27CB-479C-8C60-F2EA2E4903A2}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{AC907E59-ECEE-413C-8111-196932A208A4}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{ACF9D3F6-7A8E-4EF3-8BEC-492370D5D32B}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{B06702F9-F52C-4E9D-A2A0-7B375888E3CF}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{B34AE338-8DF8-48E6-99B7-AD971A1131F3}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{BB5BBD8C-F22E-4CB7-9F8B-9FB04F56C083}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{CB30A6D2-01DD-46B2-83D3-2A05A5C11D3A}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{CCC37911-A403-478A-A71E-2776172221C9}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{CE576DCB-D353-44E2-AC98-CED688C92679}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{D465F816-3F58-4DFC-AF05-5B669BBF63C4}

SUPPRIME Folder: C:\Users\Ziouche\AppData\Local\{E3372A2F-4A02-4FF8-90F3-0D50677DD685}

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

========== Fichier(s) ==========

SUPPRIME File: c:\users\ziouche\appdata\roaming\mozilla\firefox\profiles\8yfrtfmb.default\searchplugins\web-search.xml

ABSENT Folder/File: c:\program files (x86)\viewpoint

ABSENT Folder/File: c:\users\ziouche\appdata\roaming\mozilla\firefox\profiles\8yfrtfmb.default\searchplugins\web-search.xml

SUPPRIME File: c:\users\ziouche\appdata\roaming\microsoft\internet explorer\quick launch\pokerstars.fr.lnk

SUPPRIME File: c:\program files (x86)\pokerstars.fr\pokerstarsupdate.exe

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

========== Tache planifiée ==========

SUPPRIME Task: {E102DBEA-CF7D-4014-B69F-72B3EA3C0729}

 

========== Restauration Système ==========

Point de restauration du système créé avec succès

 

 

========== Récapitulatif ==========

6 : Clé(s) du Registre

21 : Valeur(s) du Registre

24 : Dossier(s)

7 : Fichier(s)

1 : Tache planifiée

1 : Restauration Système

 

 

End of clean in 09mn 07s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 15/08/2012 19:50:51 [5587]

 

 

 

 

 

 

 

 

 

 

Pour la 2eme: Windows me met qu'il n'y a aucune violation d'intégrité

[pear]

Windows me met qu'il n'y a aucune violation d'intégrité

 

Accéder à la console WinRE par les Options de démarrage avancées[/url]

 

Au démarrage , tapoter les touches F8 (F5 pour certaines marques de PC) ou ALT + F10 ou ALT GR + F10

Dans la fenêtre des Options de démarrage avancées

Sélectionner Réparer l’ordinateur et valider

 

Dans les options offertes,choisissez d'abord

Restaurer le sytème à une date antérieure aux problèmes.

Ensuite,si cela ne suffit pas:

Réparation du démarrage dans la boîte de dialogue Options de récupération système.

 

ou enfin:

Invite de Commande pour utiliser Bootrec.exe.

 

Les options de Bootrec

Taper l'une des options suivantes:

 

bootrec /FixMbr

L'option /FixMbr écrit un enregistrement de démarrage principal (MBR) compatible avec Windows 7 ou Windows Vista sur la partition système.

Cette option ne remplace pas la table de partition existante.

Utilisez-la lorsque vous devez résoudre des problèmes d'endommagement de MBR, ou lorsque vous devez supprimer du code non standard du MBR.

 

/FixBoot

L'option /FixBoot écrit un nouveau secteur de démarrage sur partition système en utilisant un secteur de démarrage qui est compatible avec Windows Vista ou Windows 7.

Utilisez cette option si l'une des conditions suivantes est remplie :

 

Le secteur de démarrage a été remplacé par un secteur de démarrage Windows Vista ou Windows 7 non standard.

Le secteur de démarrage est endommagé.

Un système d'exploitation Windows plus ancien a été installé après Windows Vista ou Windows 7.

Dans ce scénario, l'ordinateur démarre en utilisant le chargeur NT (NTDLR) Windows NT au lieu du Gestionnaire de démarrage Windows (Bootmgr.exe).

 

bootrec /RebuildBcd

L'option /RebuildBcd recherche sur tous les disques des installations qui sont compatibles avec Windows Vista ou Windows 7.

En outre, cette option vous permet de sélectionner les installations à ajouter au magasin de BCD.

Utilisez cette option lorsque vous devez reconstruire intégralement le magasin BCD.

 

Cette option permet de résoudre le problème «Bootmgr absent »[/color].

Si la reconstruction des Données de configuration de démarrage (BCD) ne résout pas le problème de démarrage, vous pouvez exporter et supprimer les BCD, puis réexécuter cette option.

Ce faisant, vous êtes assuré que le magasin BCD est intégralement reconstruit.

 

Pour cela, tapez les commandes suivantes à l'invite de commandes :

bcdedit /export C:\BCD_Backup

c:

cd boot

attrib bcd -s -h -r

ren c:\boot\bcd bcd.old

bootrec /RebuildBcd

[Zhale]

J'ai choisi Réparer l’ordinateur puis Restaurer le sytème et enfin bootrec /FixBoot mais rien a changé il met toujours autant de temps à démarrer. Je sais pas trop quoi faire après.

 

Point positif: après 30min de demarrage il fonctionne de nouveau normalment, plus de rame. C'est déja un bon point.

 

Merci pour ton aide

 

Edit: J'ai tenté de jouer à un jeu auquel j'ai déja jouer, la il a tellement ramé que j'ai jeter l'éponge

Modifié le 16 août 2012 par Zhale

[pear]

Vous avez d'autres options , non ?

[Zhale]

Désolé pour le temps de réponse (parti en vacances)

J'ai essayé toutes les options mais rien y fait, le démarrage est toujours très lent. Windows rame beaucoup, quand je branche ma clé usb il met 5min à la reconnaitre chose qu'il ne faisait pas avant.

[pear]

1)Procédure Usbfix

 

 

Télécharger Usb Fix , sur le bureau

 

Installez le avec les paramètres par défault

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir

Si vous êtes sous Vistaésactiver L'UAC ,avant utilisation.

 

Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Lancer l' option 1(Recherche)

le rapport UsbFix.txt est sauvegardé à la racine du disque .

Faites en un copier/coller dans le bloc notes pour le poster.

 

Ensuite,

Lancer l'option 2(Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

Pour les rapports qui sont courts (ex. Malwarebytes, AD-R, USBFix, etc.), copiez/collez sur votre sujet

 

Vaccination

Pour vous éviter une infection ultérieure:

Lancer l' Option 3 (vaccination)

 

 

Pour Désinstaller UsbFix (après la désinfection)

Double clic sur le raccourci sur le bureau

Lancer l' option 5 ( Désinstaller ) ....

 

 

 

2)

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimeretc..

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

 

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt