[Résolu] Désinfection Acer Aspire

[petitpoison]

Bonjour,

 

Une copine m'a demandé de regarder pourquoi son portable mettait tant de temps à démarrer.

 

Il fallait effectivement 20 mn pour arriver sur le bureau de windows.

 

C'est un acer aspire 3100 sous Vista edition familiale.

 

J'ai regardé et'ai vu que la partition C:\ était archi pleine, il ne restait que 40Mo de libre sur environ 40 Go.

Ensuite, j'ai constaté qu'il y avait 4 antivirus installés :

- Eset Nod 32

- Symantec (Norton),

- AVG 8

- Avast 5.

 

J'ai réussi à installer ATF cleaner et le nettoyage des temporaires m'a fait gagner 2 Go.

 

J'ai alors vu qu'il y avait 512Mo de Ram. Aujourd'hui, je l'ai remplacée par deux barettes de 2 Go chacune.

 

J'ai utilisé les désinstalleurs spécifiques pour enlever les antivirus divers. J'ai installé à la place Microsoft Security Essentials.

 

Puis avec Easeus Partition Master,j'ai réduit D:\ et aggrandi C:\ de 10 Go.

 

Du coup,Vista s'est mis à faire des tas de mises à jour.

 

 

J'ai essayé de faire un ZHPdiag en mode normal et en mode sans échec, mais impossible.J'ai comme message d'erreur :

 

"Violation d'accèsà l'adresse 779F9826 dans le module 'ntdll.dll' écriture de l'adresse 00407700."

 

 

J'ai un scan MBAM à disposition. Je n'ai plus celui d'Adwcleaner car il a disparu quand je l'ai bêtement désinstallé.

http://http://cjoint.com/?CJmmwGWwZUW

 

 

L'ordi se comporte bien mieux. Il a cependant encore des lenteurs. J'ai l'impression qu'il reste des bouts des anciens antivirus malgré l'utilisation des removal tools spécifiques.

 

Il y a aussi quelques dysfonctionnements. J'ai pu noter entre autres :

- lors d'un copier-coller, impossible d'accéder au presse papier (message d'erreur).

- Si l'on veut ajouter des boutons au volet des favoris sous IE, j'ai également un message d'erreur selon lequel :

 

"C:\Users\Irene\contacts\favorites\favorites fait référence à un emplacement non disponible. Il peut s'agir d'un emplacement situé sur un disque dur de cet ordinateur ou sur un réseau.Vérifiez que le disque est inséré correctement ou que vous êtes connecté à internet ou au réseau domestique, puis essayez à nouveau. Si vous ne trouvez toujours pas l'information, elle a peut être été déplacée vers un emplacement différent."

 

J'écris du pc en question. La copine est si nulle en informatique que le pc était dans le jus de l'époque de son achat. Elle n'a pas pu faire ces modifs.

 

Merci de m'avoir lu et espère que vous pourrez m'aider à éliminer les derniers dysfonctionnements et lenteurs.

 

 

Edit : le ventilateur se déclenche également très souvent. Je l'ai dépoussiéré lorsque j'ai eu l'ordi en main il y a quelques jours... pas du luxe, il disparaissait sous la poussière...

 

J'ai également oublié de dire avoir désinstaller adaware de Lavasoft avec Revo uninstaller.

 

Voici le log Eset en ligne :

C:\Users\Irène\AppData\Local\Microsoft\yykwsko.exe a variant of Win32/Skintrim.AC trojan cleaned by deleting - quarantined

Modifié le 13 octobre 2013 par petitpoison

[tomtom95]

Bonsoir petitpoison,

Téléchargez Farbar Recovery Scan Tool
Cliquez selon ton système sur Download Now 32-bit / 64 Bits version et enregistrez-le sur le Bureau.

• Faites un clique droit sur le fichier téléchargé (FRST.exe) et choisissez Exécuter en tant qu'administrateur
  puis cliquez sur 'Exécuter' lors de l'Avertissement de sécurité - Fichier ouvert.
  Quand l'outil démarre, cliquez sur Oui si vous acceptez les termes de la fenêtre Disclaimer (clause de non-responsabilité).
• Cliquez sur le bouton Scan.
• L'outil va créer un fichier rapport [log] nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.
• La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt - situé également dans le même dossier que FRST.exe.
• Héberge les rapports sur le site http://www.cjoint.com
  Appuyez sur Parcourir et chercher les rapports sur le bureau
• Cliquez sur Ouvrir
• Cliquez sur Créer le lien CJoint,
  Puis copie/colle le lien fourni dans votre prochaine réponse.

A+

 

 

[petitpoison]

Bonsoir Tomtom !!!

 

Merci de me prendre en charge

 

Voici les rapports demandés :

 

FRST

addition

 

 

[tomtom95]

Bonjour,

Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
RAR Password Cracker 4.12
Revo Uninstaller 1.95

Applique la correction avec Farbar Recovery Scan Tool
Ouvrez le Bloc-notes (notepad). Copiez le contenu de la zone code ci-dessous.
Pour ce faire, sélectionnez toutes les lignes, faites un clique droit et choisissez Copier. Collez ceci dans la fenêtre ouverte du Bloc-notes.
Enregistrez le fichier sous le nom fixlist.txt

start
MountPoints2: {a878c46c-1121-11dd-a59a-0016d4d20198} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
2013-10-10 18:30 - 2007-06-17 16:30 - 00000953 _____ C:\Users\Irène\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2013-10-12 13:04 - 2013-10-12 13:04 - 00000000 ____D C:\Program Files\ESET
2013-10-09 00:08 - 2013-10-09 00:08 - 00000000 ____D C:\Program Files\VS Revo Group
2013-10-09 00:20 - 2007-01-23 18:54 - 00000000 ____D C:\Program Files\Common Files\Symantec Shared
2013-10-09 00:12 - 2008-08-01 00:00 - 00000000 ____D C:\ProgramData\Lavasoft
2013-10-08 21:53 - 2007-06-24 19:21 - 00000000 ____D C:\Users\Irène\AppData\Roaming\Azureus
2013-10-09 19:24 - 2008-07-31 23:41 - 00000000 ____D C:\Program Files\Alwil Software
2013-10-09 19:23 - 2010-12-08 18:15 - 00000000 ____D C:\ProgramData\Alwil Software
AlternateDataStreams: C:\ProgramData\TEMP:C31F31E6
AlternateDataStreams: C:\ProgramData\TEMP:DFC5A2B2
C:\ProgramData\ezsid.dat
end

NOTE. Il est important que les deux fichiers, FRST et fixlist.txt se trouvent dans le même emplacement, sinon la correction ne fonctionnera pas.

IMPORTANT : Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC.
Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.
Ferme toutes les applications, y compris ton navigateur

Double-clique sur FRST,Sur Windows Vista / 7 / 8 (clique-droit > exécuter en tant qu'administrateur
cliquez une seule fois sur le bouton Fix et attendez.
Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laissez le système redémarrer normalement.
Ensuite laissez l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).

Héberge le rapport sur le site http://www.cjoint.com
puis copie/colle le lien fourni dans ta prochaine réponse..

• Télécharge Junkware Removal Toolsur le bureau
  Sur la page clique sur Download Now
  Pour XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.
  Pour Vista/7/8, clique droit exécuter en tant qu'administrateur.
  NB: Le bureau disparaitra un instant, c'est normal.
  Clique sur Oui pour créer une sauvegarde du registre avec Erunt.
  Le scanne va ce lancer.
  Attendre l'affichage du rapport il sera enregistré sur le bureau
  importante:
• Héberge le rapport sur le site http://www.cjoint.com
  puis copie/colle le lien fourni dans ta prochaine réponse.
  importante:
  Ne pas relancer l'outil une seconde fois sinon le rapport sera écrasé par le nouveau.

A+

 

[petitpoison]

Bonjour Tomtom,

 

Afin de pouvoir désinstaller RAR Cracker..., j'ai du utiliser Revo uninstaller car impossible autrement.

 

Puis j'ai désinstallé Revo Uninstaller par ajout/suppression de programmes. Tu penses qu'on ne peux pas garder ce programme sur le pc ?

 

Puis j'ai exécuté ton script : http://cjoint.com/?CJniKtAbgE9

 

J'ai eu du mal à passer JRT, il me disait qu'il y avait un problème avec le dossier temp. Bref, j'ai passé SFTGC, suite à quoi il a bien voulu fonctionner. Je l'ai lancé en tant qu'administrateur depuis le bureau.

Le log s'est affiché. je l'ai fermé. Il avait trouvé des choses dans la dernière rubrique. Je voulais te le mettre sur cjoint, mais je ne sais pas du tout où est passé le log...

 

Modifié le 13 octobre 2013 par petitpoison

[tomtom95]

Bonjour petitpoison,

Aucun problème pour garder revo.
évite stp d'utiliser d'autre outils pendant la prise en charge ,en cas de problème indique-le-moi

le rapport JRT se trouve aussi sur ton disque système (généralement C:\) puis JRT.txt.

D’ailleurs pour ton premier rapport MBAM ton lien n'était pas valide,
Fais un nouveau scanne complet Cocher toutes les cases de tes lecteurs.

Post aussi le rapport SFTGC qui ce trouve sur ton bureau.

Ensuite
Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
Ferme toutes les applications, y compris ton navigateur
Double-clique sur SXCU.exe pour lancer l'application
Sous Vista, Windows 7 et 8, clique-droit > exécuter en tant qu'administrateur
Au menu principal, clique sur le bouton Rapport
Poste le rapport_SX.txt dans ta prochaine réponse.
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXCU.exe est sûr)

A appliquer après avoir posté les rapports MBAM, et SXCU.

Vérifier dans le Gestionnaire de périphériques les pilotes,je pense qu'il faut mettre à jour certain pilote.
Utilise MaConfig

Pour les erreurs système:

• faire un CHKDSK qui va rectifier efficacement les dysfonctionnements rencontrés
• Clique démarrer >> ordinateur >> clique droit sur ton lecteur C:\
  Propriété >> onglet outils >> clique sur vérifier maintenant.
  Coche la case:
  réparer automatiquement les erreurs de système de fichiers.
  puis clique sur démarrer.
  Un message d'avertissement
  clique sur planifier la vérification du disque.
  Puis redémarre le pc qui va faire son scanne.
  Tu auras pas de rapport ,mais s'il trouve des erreurs sur ton pc il seront réparer.

• Ensuite une réparation SFC (Vérificateur des fichiers système pour résoudre les problèmes des fichiers système manquants ou endommagés.)
• Clique sur Démarrer
• Tous les programmes
• Accessoires
• Clique sur Invite de commande et Exécuter en tant qu'administrateur.
  Si tu es invité à donner un mot de passe administrateur ou à confirmer une opération
• tape le mot de passe ou cliquz sur Autoriser.
  À l'invite de commandes
  copie/colle la commande suivante : sfc /scannow et valide avec [Entrée]
  La commande sfc /scannow vérifie tous les fichiers système protégés et remplace les versions incorrectes par des versions Microsoft appropriées
  
• Télécharge cbslog.bat (fichier batch proposé sur le site fspsa.free.fr) : cbslog.bat
  Enregistre-le sur le Bureau
• clique-droit sur cbslog.bat > exécuter en tant qu'administrateur
• Le rapport sfcdetailsrepair.txt s'affiche, le rapport sfcdetails.txt est minimisé dans la barre des tâches
• Héberge les rapports présent sur ton bureau sur le site http://www.cjoint.com
  Puis copie/colle les liens fourni dans ta prochaine réponse.

A+

 

[petitpoison]

Re,

 

Je sais qu'il ne faut pas utiliser d'autres outils, en l'occurence, je ne pouvais plus rien exécuter ni télécharger après le passage du fix FRST. Seul SFTGC a bien voulu fonctionner. La prochaine fois, je t'en ferai part avant toute initiative.

 

J'ai beau chercher, je ne comprends pas où a pu disparaitre le log JRT. J'ai également utilisé la fonction recherche mais rien, rien de rien.

 

Je remettrai revo dès que tu me donneras ton accord.

 

Voici les rapports MBAM, je te remets le tout premier, celui dont le lien était invalide.

 

Le premier :

 

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.10.09.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19458
Irène :: PC-DE-IRÈNE [administrateur]

09/10/2013 17:03:29
mbam-log-2013-10-09 (17-03-29).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 304000
Temps écoulé: 1 heure(s), 43 minute(s), 27 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} (Rogue.WinAntiVirus) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\fcn (Rogue.Residue) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Program Files\Winsudate (Adware.Gibmedia) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 5
C:\Users\Irène\AppData\Local\Temp\is-1258Q.tmp\OCSetupHlp.dll (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Irène\Documents\petits jeux\conneries\destruction.exe (Joke.Stressreducer) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Irène\Documents\petits jeux\MAHJONG\Keygen.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Irène\AppData\Roaming\Icones\icones_pa.ico (Adware.GibMedia) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\nvs2.inf (Adware.EGDAccess) -> Mis en quarantaine et supprimé avec succès.

(fin)

 

 

Le second :

 

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.10.13.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Irène :: PC-DE-IRÈNE [administrateur]

13/10/2013 15:03:02
mbam-log-2013-10-13 (15-03-02).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 310103
Temps écoulé: 1 heure(s), 12 minute(s), 45 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

 

Le rapport SFTGC : http://cjoint.com/?CJnqEEcqGpe

 

et enfin celui de SXCU :

 

SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
---
Windows Version : Windows Vista 32 bits
Service Pack : 2
UserName : Irène
13/10/2013
16:21:11
version = v0.3.5
---
Windows Update Information :
AUOptions : 4
Automatically, no notification
---
Name : FlashPlayer ActiveX
Version : 11.9.900.117
Flash Player ActiveX est à jour

Name : FlashPlayer Plugin FF
Version : 11.9.900.117
Flash Player Plugin FF est à jour

Name : FlashPlayer Plugin
Version : 11.9.900.117
Flash Player Plugin est à jour

Nom : Mozilla Firefox 24.0 (x86 fr)
Version : 24.0

Java Information :
Nom : Java 7 Update 40
Version : 7.0.400
Java 7 Update 40 est à jour

Nom : Adobe Reader XI (11.0.05) MUI
Version : 11.0.05
Adobe Reader est à jour

Nom (svc) : Internet Explorer
Version : 9.0.8112.16421

 

Je m'attelle à la suite,

 

encore merci,

 

 

 

 

[tomtom95]

RE

Ok pas de soucis.

Tu as lancer JRT depuis ton bureau ou dans un fichier temporaire ?
Si c'est dans un fichier temp... il sera effacer avec un nettoyage des fichiers.

Oui pour revo.

 

Avant la suite stp

Télécharge RogueKiller (par tigzy). sur le bureau

Si votre systéme est un 64 bits Cliquez sur X64

• IMPORTANT:Quitte tous tes programmes en cours
  Désactive tes protections (Antivirus )
• Lance RogueKiller.exe.
• Clique droit -> exécuter en tant qu'administrateur
  
  Note : Attends que le PreScan ait fini.
• Accepte la licence.
• Clique sur Scan.
• Une fois le scan terminé rends toi sur le bureau
  le rapport [RKreport.txt] à été créé.
• Héberge le rapport présent sur ton bureau sur le site http://www.cjoint.com
  Puis copie/colle le lien fourni dans ta prochaine réponse.

 

[petitpoison]

Re,

 

Je lance toujours les applications à partir du bureau, c'est donc ce que j'ai fait pour JRT.

 

Je n'avais pas vu que tu avais écrit, je vais donc faire la procédure avec RogueKiller après ce message.

 

 

Comme je mettais à jour les drivers, je ne suis pas revenu voir si tu avais posté.

 

J'ai sauté l'étape checkdisk car dans mon premier message je t'ai dit avoir modifié la taille des partitions. Après j'ai défragmenté avec auslogics disk defrag et ensuite automatiquement lancé le checkdisk. Mais si tu dis qu'il faut le faire une seconde fois, je le lancerai tout à l'heure.

 

J'ai lancé SFC et il a corrigé des erreurs. Voici les logs :

 

Sfcdetailsrepair : http://cjoint.com/?CJnsgZ5gSB4

Sfcdetails : http://cjoint.com/?CJnsikALyeJ

 

 

[petitpoison]

Et enfin, voici le rapport de Roguekiller : http://cjoint.com/?CJnssZkBaok

 

Merci