[Résolu] Infection détectée provoquant un ralentissement au démarrage

[tomtom95]

Bonjour Philou22

 

Chaque session administratrice a son propre profil, vu les diverses infections sur chacune d'elles ce qui peut créer un conflit du système.

Avant de passer sur une vérification du disque dur (chkdsk) ,de vérifié dans le gestionnaire certain service,et la mises à jour de pilotes.

 

 

• Télécharge

TDSSkiller.zip sur ton bureau
Ferme toutes les applications ouvertes
Désactive tes défenses (anti-virus et anti-spyware)
 
Dézippe l'archive.
Faites un double clique sur TDSSKiller.exe pour lancer l'outil.
Sur TDSSKiller qui s'affiche Clique sur Change parameters

Coche la case située devant "Loaded modules"
Il as l'ouverture d'une petite fenêtre "Reboot is required"
 
Clique sur le bouton "Reboot now"
ce qui va provoquer un redémarrage du PC.
TDSSKiller va se lancer automatiquement après ce redémarrage
et ton PC peut alors sembler être très lent et inutilisable.
patient
et attende que tes programmes se chargent.
 
L'écran de TDSSKiller s'affiche
Clique sur "Change parameters"
L'écran Settings de TDSSKiller s'affiche.
Coche toutes les cases
comme ceci:
 

 
puis clique sur le bouton OK.
Cliquer sur Start scan pour lancer l'analyse
Lorsque l'outil a terminé son travail d'inspection
si des nuisibles ("Malicious objects") ont été trouvés
vérifier que l'option (Cure) est sélectionnée
 

 
Si des objects suspects ("Suspicious objects") ont été détectés
sur l'écran de demande de confirmation
modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip)
 
Puis cliquer sur le bouton (Continue) puis sur [Reboot Now]
 
Attendre l'affichage du fichier rapport.
Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage
cliquer sur le bouton (Reboot computer).
 
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Rootkit Win32.ZAccess est détecté assure toi que Cure est bien cochée.
 
Si Suspicious file est indiqué laisse l'option cochée sur Skip
 
Clique sur Continue puis sur Reboot now pour redémarrer le PC.
 
Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système
sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil HH.MM.SS heure de passage).

 

A+

[Philou22]

Bonsoir tomtom95,

 

1)Je te communique le rapport TDSSKiller que j'ai lancé sur ma session (faut il le lancer sur toutes les sessions?):

 

Le Scan n'a trouvé que des ("Suspicious objects") que j'ai mis en quarantaine.

 

Voici le rapport en lien : Lien CJoint.com BIEt4gIQyYm

 

A+

[tomtom95]

Bonjour Philou22

 

il n'est pas nécessaire de lancer TDSSKiller sur les autres sessions.

Ce rapport ne montre rien de "méchant"

 

Désinstalle UPHClean,et si encore présent Daemon-Tools

Démarrer >> panneau de config >> ajout/suppr

Ou avec Revo Uninstaller version gratuite 1.94 Download Revo Uninstaller

 

ENSUITE:

• Télécharge

SFT.exe de pierre13 sur ton bureau
Lance l'outil : double-clique sur SFT.exe pour XP
Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer
Un rapport va s'ouvrir à la fin.
Ne poste pas ce rapport sur le forum.
Le rapport est parfois trés long
l'héberger le sur http://cjoint.com/
Le rapport se trouve sur le bureau (SFT.txt)

 

Télécharge Security Check(de screen317)

• Fermer tout tes applications
  
• Double-clique sur "SecurityCheck.exe"
  
• Suis les indications .
  Note: Si un des programmes de sécurité demande la permission d'accéder à Internet depuis dig.exe accepte.
  Le Rapport checkup.txt va s'ouvrir à la fin.
  Poster son contenu sur le forum.
  Le rapport ne sera pas enregistré automatiquement.
  Si tu veux en garder une copie
  cliquez sur "Fichier" et sur "Enregistrer sous"
  
• choisir un endroit (EX: le Bureau) et clique sur "Enregistrer"

 

 

Aprés avoir posté les rapports SFT, SecurityCheck

Pour supprimer les outils utiliser

• Double-clique sur OTL.exe pour le lancer.
  
• Clique sur purge outils
   
  Télecharge sur le site DelFix (de Xplode) sur ton Bureau
  Lance Delfix
  
• Choisis l'option "RECHERCHE"
  
• Laisse travailler l'outil
  
• Copie/colle le rapport obtenu
  
• Choisis l'option "SUPPRESSION"
  
• Laisse travailler l'outil
  
• Copie/colle le rapport obtenu sur le forum
   
  Supprime DelFix ainsi que les autres outils restant éventuellement sur le bureau.

 

Pour la question de lenteur au démarrage

As-tu vérifié s'il n'y avait pas un problème de pilote?

Démarrer >> Panneau de configuration >> Système >> Onglet Matériel >> Bouton Gestionnaire de périphériques

Vois-tu des icônes jaunes ou avec ?

 

 

Que dit le Gestionnaire de tâches ?

Démarrer >> Exécuter

Taper taskmgr puis clique sur OK

Cliquer sur l'onglet Processus

Quel est le nombre de processus actifs (affiché tout en bas)?

Quel est la quantité d'UC utilisée (pourcentage affiché tout en bas)?

Quelle est la charge dédiée (affichée tout en bas)?

Vérifier que la case devant Afficher les processus de tous les utilisateurs est cochée

Cliquer deux fois en haut sur Processeur pour avoir un classement décroissant selon l'utilisation du processeur

Sans tenir compte de la ligne Processus inactif du système, quels sont les processus les plus gourmands?

 

A+

[Philou22]

Bonjour tomtom95,

 

1) J'ai, je pense, désinstaller complètement UPHClean via RevoUninstaller.

2) Je te communique le rapport SFT :

Lien CJoint.com BJbjlG0eIah

3) Je te communique le rapport Security Check :

Results of screen317's Security Check version 0.99.51

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````Antivirus/Firewall Check:``````````````

Avira Free Antivirus

Avira successfully updated!

`````````Anti-malware/Other Utilities Check:`````````

hpHosts

Malwarebytes Anti-Malware version 1.65.0.1400

CCleaner

Java 7 Update 7

Adobe Flash Player 11.4.402.265

Adobe Reader X (10.1.4)

Mozilla Firefox (15.0.1)

````````Process Check: objlist.exe by Laurent````````

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:: 1%

````````````````````End of Log``````````````````````

 

4) Je vais supprimer les outils via OTL (j'avoue que au préalable je supprimais simplement les outils en les mettant dans la corbeille vu qu'ils n'apparaissaient pas sur Revouninstaller):

 

En cliquant sur Purge outils de OTL il bloque sur Access violation at adress CCCC0460. Read of Adress CCCC0460.

J'ai cliqué sur Ok. Mais au bout de 10mn vu qu'il ne se passe rien, j'ai fermé l'application.

 

5) Je te communique les 2 rapports Delpix :

# DelFix v9.0 - Rapport créé le 01/10/2012 à 09:38:10

# Mis à jour le 23/09/12 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : PASCAL - P*** (Administrateur)

# Exécuté depuis : C:\Documents and Settings\PASCAL\Bureau\delfix.exe

# Option [Recherche]

 

 

~~~~~~ Dossiers(s) ~~~~~~

 

Présent : C:\ZHP

Présent : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

Présent : C:\Program Files\ZHPDiag

 

~~~~~~ Fichier(s) ~~~~~~

 

Présent : C:\Documents and Settings\PASCAL\Bureau\JavaRa.exe

Présent : C:\Documents and Settings\PASCAL\Bureau\OTL.exe

Présent : C:\Documents and Settings\PASCAL\Bureau\SecurityCheck.exe

Présent : C:\Documents and Settings\PASCAL\Bureau\ZHPDiag2.exe

Présent : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

Présent : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk

Présent : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk

 

~~~~~~ Registre ~~~~~~

 

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP

Clé Présente : HKLM\SOFTWARE\OldTimer Tools

Clé Présente : HKLM\SOFTWARE\AdwCleaner

Clé Présente : HKLM\SOFTWARE\Soeperman Enterprises Ltd.

Clé Présente : HKLM\SOFTWARE\Swearware

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

 

~~~~~~ Autres ~~~~~~

 

 

*************************

 

DelFix[R1].txt - [1422 octets] - [01/10/2012 09:38:10]

 

########## EOF - C:\DelFix[R1].txt - [1546 octets] ##########

 

# DelFix v9.0 - Rapport créé le 01/10/2012 à 09:39:58

# Mis à jour le 23/09/12 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : PASCAL - P*** (Administrateur)

# Exécuté depuis : C:\Documents and Settings\PASCAL\Bureau\delfix.exe

# Option [suppression]

 

 

~~~~~~ Dossiers(s) ~~~~~~

 

Supprimé : C:\ZHP

Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

Supprimé : C:\Program Files\ZHPDiag

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\Documents and Settings\PASCAL\Bureau\JavaRa.exe

Supprimé : C:\Documents and Settings\PASCAL\Bureau\OTL.exe

Supprimé : C:\Documents and Settings\PASCAL\Bureau\SecurityCheck.exe

Supprimé : C:\Documents and Settings\PASCAL\Bureau\ZHPDiag2.exe

Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk

Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP

Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

Clé Supprimée : HKLM\SOFTWARE\Soeperman Enterprises Ltd.

Clé Supprimée : HKLM\SOFTWARE\Swearware

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

 

~~~~~~ Autres ~~~~~~

 

-> Prefetch Vidé

 

*************************

 

DelFix[s1].txt - [1458 octets] - [01/10/2012 09:39:58]

 

########## EOF - C:\DelFix[s1].txt - [1582 octets] ##########

 

La suite dans la fin de ce msg...

 

Pour la suppression des Outils, à voir le Pb avec OTL

 

6) Pas de boutons jaunes ou ? sur le gestionnaires de périphériques.

7) Je n'ai comme processus à 2% du processeur que explorer.exe ou taskmgr.exe et au niveau de l'Util. de la mémoire c'est largement firefox.exe qui est devant.

 

Je viens de me rendre compte que l'icone OTL et SecurityCheck ont disparu du bureau. Je viens de retélécharger OTL et en le lançant il me detecte la ma même erreur que ci-dessus et absent au redémarrage du PC...

 

A+

Modifié le 1 octobre 2012 par Philou22

[tomtom95]

Bonjour Philou22

 

DelFix a supprimé les outils, OTL compris sur la session PASCAL

Supprimé : C:\Documents and Settings\PASCAL\Bureau\OTL.exe

Supprimé : C:\Documents and Settings\PASCAL\Bureau\SecurityCheck.exe

 

Sur les autres sessions Télécharge de nouveau DelFix, SFT puis exécute-les post les rapports stp.

 

Mise à jour sur chaque session :

Adobe Flash Player 11.4.402.265 >> dernière version 11.4.402.278

 

Flash Player (Décoche avant le téléchargement la case de la barre google, ou McAfee Security Scan Plus gratuit)

http://get.adobe.com/fr/flashplayer/

 

A vérifier, sur chaque session plugin Flash Player , dans les modules complémentaire de firefox

 

 

Ok aucun processus gourmand, ni de pilote en défaut.a tu fait sur chaque session une analyse avec ton antivirus Avira AntiVir ?

 

Toujours pour ton problème de lenteur.

Présence de hpHosts qui peut dépendre du programme WOT

Des problèmes peuvent être liés à HpHosts s'il est trop volumineux.

Vérifie le HOSTS, il ce trouve ici

Démarrer >> poste de travail >> C:\Windows\system32\drivers\etc

 

Si tu as comme sur cette capture des Backups supprime-les

 

http://img14.imageshack.us/img14/3605/sanstitreglu.jpg

 

Désinstalle pour l'instant hpHosts, puis on va réinitialiser le fichier HOSTS par défaut

 

• Télécharge.

MyHosts.exe ( par Jeanmimigab ) sur ton bureau
En cas d'alerte (Désactive tes défenses ( anti-virus etc… ) Réactive après l'application de l'outil
Double-clique sur l'icône de MyHosts qui se trouve sur ton bureau.
Le rapport " MyHosts.txt " s'ouvre Copie son contenu et poste-le sur le forum.
Tu peux le retrouver à la racine de ton disque système (C:\MyHosts.txt)

 

• Télécharger

DeFogger de Jpshortstuff sur le bureau.
Double cliquer sur DeFogger pour démarrer l'outil.
La fenêtre de DeFogger apparaît
Cliquer sur le bouton Disable pour désactiver les pilotes d'émulateurs CD.
Cliquer sur Yes pour continuer.
Un message 'Finished!' apparaîtra
Cliquer sur OK
DeFogger peut te demander de redémarrer la machine
Clique sur OK
 
Ne réactive PAS ces pilotes avant de savoir si c'est la cause du problème

 

Redémarre le pc ,Puis retour d'infos sur la lenteur du démarrage de l'ordinateur

 

• Si aucune amélioration ne Fait un chkdsk en ligne de commande
  
• Clique sur Démarrer >> Exécuter >> tape CMD
  À l’invite de commandes,
  Tape chkdsk c: /F/R et valide sur [Entrée].
  Attention aux espaces chkdsk c: < espace > /F/R
   
  Il te sera proposé de lancer la vérification au prochain démarrage de ton PC,
  le volume (ton disque) étant en cours d’utilisation.
  Au message tape sur la lettre (O) oui et redémarre le pc
  Un scanne afin de réparer le volume, et de tenter une récupération des données dans les secteurs défectueux va ce faire c'est un peu long donc patience.

 

As-tu le CD de Windows XP ?

 

A+

[Philou22]

Re Tomtom95,

 

1) En fait, je n'arrive plus à installer OTL sur aucune de mes sessions car il me met toujours la même erreur repertoriée ci-dessous...

 

2)Je te poste les Scan Delfix et SFT des 3 autres sessions :

 

Lien CJoint.com BJcafziJmcw

Lien CJoint.com BJcaghiJYeX

Lien CJoint.com BJcagPboBAB

Lien CJoint.com BJcahMY4LJ5

Lien CJoint.com BJcaidYUG9E

Lien CJoint.com BJcaiEVqlFN

Lien CJoint.com BJcajy3rtjV

Lien CJoint.com BJcajTaoqlu

Lien CJoint.com BJcakkfXDA0

 

3)Mis à jour Adobe Flash Player plug in sur les 4 sessions (Version affichée sur Revouninstaller). A noter que j'avais la dernière version Adobe Flash Player Active X!

 

4)Je n'ai pas fait de Scan avec Antivir depuis très longtemps sur les autres sessions. Je pensai que cela suffisait de le lancer sur une seule session...

 

5)Pas de Backups sur C:\Windows\system32\drivers\etc. Désinstallation HpHosts via Revouninstaller.

Remis fichier Hosts par défaut via MyHosts.exe. Voici le rapport:

** Rapport MyHosts.txt **

 

MyHosts V.1.0.0.2 de jeanmimigab

 

Merci à la team MH, W-T ,C_XX, Laddy et à Batch_man pour leurs aides

 

Résultat de l'opération:restauration du fichier hosts réussi...

 

** Fin du rapport **

 

6) Vu l'heure, je finirai la manip. demain...

Mais tu mets après DeFogger de "ne pas réactiver ces pilotes avant de savoir si c'est la cause du problème", mais cela ne va t-il pas me provoquer des dysfonctionnements?

 

A+

Modifié le 1 octobre 2012 par Philou22

[tomtom95]

Bonjour Philou22

 

Mais tu mets après DeFogger de "ne pas réactiver ces pilotes avant de savoir si c'est la cause du problème",

mais cela ne va t-il pas me provoquer des dysfonctionnements?

 

• NON pas d'inquiétude, Il y a certains émulateurs de CD/DVD
  qui peuvent hooker des pilotes de façon légitime ou crée un ralentissement du système
   
  Oui fait Un scanne rapide sur chaque session avec antivir ,
   
  Selon la configuration de ton antivirus, il peut scanner l'ensemble des disques locaux, disque dur,
  il scannera les dossiers Windows et les Répertoire système Windows etc..
  Par contre si les répertoires " Mes Documents" etc… pour chaque session ne sont pas cocher ils ne seront pas analyser.
  Dans le mode expert d’antivir, je pense que tu peux les sélectionner manuelle vous permet le Scanne des c’est fichiers.
  

Tuto Antivir >> voir La configuration

 

A+

[Philou22]

Bonsoir tomtom95,

 

1)J'ai désactivé les émulateurs de CD via DeFogger mais le PC est toujours aussi lent au démarrage...

A voir s'il faut réactiver les émulateurs de CD!

2)Je vais faire un examen complet via Antivir sur toutes les sessions mais cela va prendre un peu de temps!

3)Puis je ferai un Scandisk.

4)J'ai cherché et j'ai trouvé un CD de Restauration qui je pense est peut-être celui de l'OS.

 

Merci de ton aide,

A+

Modifié le 2 octobre 2012 par Philou22

[Philou22]

Re tomtom95,

 

1) En complément de mon précédent Post, j'ai fait un Scan complet des sessions via Antivir et aucune infection trouvée...

2) Vu qu'il n'y a pas eu d'amélioration, j'ai fait un chkdsk puis redémarrage du PC. Pas d'amélioration...

 

A+

[tomtom95]

Bonsoir Philou22

 

Humm! Sa ce complique, le pc me semble clean, je pense plutôt qu'il y a un problème avec un programme commun pour toutes les sessions, Ou le chargement de profil.

Voir pour changer les comptes utilisateurs des autres sessions.

Les Comptes dutilisateurs

 

AVANT :

• Eventuellement Désactiver le service d'indexation qui est un gros consommateur de ressources.
  Pour le désactiver :
  
• Dérouler le menu Démarrer
  
• Cliquer sur Exécuter
  
• Tape services.msc
  
• Cliquer-droit sur "Service d'indexation" puis cliquer sur "Propriétés"
  
• Dans "Type de démarrage", sélectionné "Désactiver"
  
• Cliquer sur appliquer, puis sur OK redémarre le pc

 

• Tu as désactivé les programmes qui se lancent au démarrage de Windows inutilement sur chaque session ?
  Tu peux Télécharger
  

MBAM' StartUpLite sur le Bureau
Fermer toutes les applications
Double-cliquer sur StartUpLite.exe
Il va afficher tous les entrées inutiles du démarrage automatique. Sélectionner les entrées qui sont affichées.
Clique sur " Continuer " (sauf si tu veux en garder).
Si l'outil affiche "No unnecessary startups found!"
c'est qu'il n'y a rien à faire.

 

Vérifie que l'Ultra DMA est bien activé sur le contrôleur IDE, et non en PIO

Clique sur démarrer >> panneau de config >> système >> onglet Matériel >> clique sur gestionnaire de périphérique

En haut clique sur affichage >> puis afficher les périphériques cachés

Clique sur la croix de contrôleur IDE >> puis canal IDE principale >> onglet paramètres avancés >>

Tu dois avoir Mode de transfert (DMA SI DISPONIBLE), et Mode de transfert actif (Ultra DMA)

Fait le aussi sur les autres (canal IDE).

 

Lorsque tu lance l'ordinateur en mode sans échec, le pc est aussi très lent ?

 

J'ai cherché et j'ai trouvé un CD de Restauration qui je pense est peut-être celui de l'OS

Pour faire une analyse SFC il faut le CD de XP

Tu peux télécharger, et graver un CD de Windows XP Service Pack 3

http://www.microsoft.com/fr-fr/download/details.aspx?id=25129

C'est un CD ISO pour le graver tu peux utiliser cdburnerxp

CDBurnerXP: Graver une image ISO sur disque

Une fois que tu as gravé le CD, tu n'as plus qu'à le mettre dans le lecteur et poursuivre la réparation...

 

 

En mode normal, Démarrer > Exécuter >> tape cmd et valide avec OK

Dans la fenêtre noire qui s'affiche, tape sfc /scannow et valide avec [Entrée].

Une petite fenêtre s'affiche. Patiente pendant l'analyse. Là, deux cas de figure possibles :

L'analyse se fait jusqu'au bout, et le système indique qu'il n'y a pas de violation d'intégrité

Ou il a réparer et un ficher CBS.log sera crée

 

• Télécharge cbslog.bat (sur le site fspsa.free.fr) :

cbslog.bat
Enregistre-le sur le Bureau
 
Clique sur cbslog.bat
 
Le rapport sfcdetailsrepair.txt s'affiche
le rapport sfcdetails.txt est minimisé dans la barre des tâches.
 
Ces 2 rapports sont enregistrés sur le Bureau.
Copie-colle le contenu de ces 2 rapports.
Si ces rapports sont trop longs
 
Pour me les transmettre héberger les fichiers contenant les rapports sur http://cjoint.com/

 

A+

Modifié le 3 octobre 2012 par tomtom95