Demande d'aide pour la désinfection d'un PC HP

[Gilb76]

Bonjour, suite à l'ouverture de ce topic :

 

http://forum.zebulon.fr/disque-dur-pc-hp-non-reconnu-sur-autre-pc-t212775.html/page-2?do=findComment&comment=1784016

 

et à la demande de Tonton, je vous demande de bien vouloir m'aider à désinfecter un ordinateur particulièrement récalcitrant... Voici le rapport de ZHPDiag3 :

http://www.cjoint.com/c/EGCuJV6nTWr

depuis, j'ai tenté de restaurer cet ordinateur à son état d'origine, malheureusement, même après réinstallation, il est toujours aussi cruellement lent !! Merci d'avance pour vos réponses

[pear]

Bonjour,

 

1)Certains outils sont parfois détectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan"
Dans ce cas:
Autorisez l'outil dans les exceptions de votre antivirus ou antimalware.
ou
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

De même,votre navigateur peut bloquer un programme parce qu'il le croit dangereux.
Il faut donc décocher le blocage provisoirement
Sous Firefox ,
Options->Sécurité
décocher : "Bloquer les sites signalés comme site d'attaque" .

Sous Chrome
Appuyer sur Ctrl+J (Downloads) -> "Récupérer le fichier malveillant" -> "Récupérer malgré tout"

Sous IE désactiver le filtre Smart Screen

Et si besoin,en cas de blocage:
Télécharger CTR.exe de Pierre 13 sur le bureau.
Sous Vista, Windows 7 et 8:
Faire un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.
Sous XP:
Double cliquer sur le fichier pour le lancer.
Après l'analyse, réparation, un rapport va s'ouvrir sur le bureau(CTR.txt)
Poster le contenu.


Vous devez trouver les 2 icônes Zhpdiag, Zhpfix,
Sur le bureau ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)

sinon,
il est là
Cliquer sur l'icône Zhpfix


Sous Vista et + clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer sur Importer
pour inscrire le texte dans la fenêtre vide qui s'ouvre


Script ZHPFix

O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("extensions.alottb.errorUrl", "http://search.alot.com/error?q=[QRY]&pr=errs&src_id=11369&client_id=e218d868d404ac5fb8c3d[...]
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.Var1", "0");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.Var10", "0");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.Var2", "0");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.Var3", "0");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.Var4", "0");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.Var5", "0");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.Var6", "0");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.Var7", "0");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.Var8", "0");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.Var9", "0");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.cache.tbs_include_xml_006938", "51/14/2/2/112");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.firstlaunch", "0");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.guid", "%7B98361811-3C93-4C00-D2D1-06C01F22BE68%7D");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.popupblockedcnt", "298");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.stored_historysearch", "////adsl%20tv////tv%20direct%20sur%20internet////tf1.fr%20les%20feux%20de%2[...]
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6.userId", "%12");
O69 - SBI: prefs.js [CATHERINE BOUVARD - uqxvdqmn.default] user_pref("id_imbooster4web_v6_installed_version", "1.0.1018.0");
HKLM\SOFTWARE\Safer Networking Limited
HKCU\SOFTWARE\Safer Networking Limited
O43 - CFD: 2013/03/03 02:55:23 - [] D -- C:\Program Files\Spybot - Search & Destroy
O43 - CFD: 2013/06/06 07:40:35 - [] D -- C:\Program Files\Spybot - Search & Destroy 2
O43 - CFD: 2014/02/02 16:08:44 - [0] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerRoom.com
O43 - CFD: 2013/03/20 01:31:01 - [] D -- C:\ProgramData\Spybot - Search & Destroy
O53 - SMSR:HKLM\...\startupreg\Malwarebytes Anti-Exploit [Key] . (...) -- C:\Program Files\Malwarebytes Anti-Exploit\mbae.exe (.not file.)
O3 - Toolbar: 0xB1C218236549D4119B18009027A5CD4F - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} . (...) -- (.not file.)


EmptyClsid
EmptyFlash
EmptyPrefetch
FirewallRaz
Ifeofix
Proxyfix
ShortcutFix
Sysrestore



Cliquer sur "Go" en bas, à gauche

Redémarrer pour achever le nettoyage.

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .
Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

2) Téléchargez sur le bureau ZhpCleaner
Désactivez vos protections: antivirus, ...
Fermez toutes les applications en cours (notamment votre navigateur)

Double cliquer sur Scanner pour lancer l'application
Sous Windows Vista / 7 / 8 clic droit > Exécuter en tant qu'administrateur
Accepter "les conditions d'utilisation"

Cliquer sur Nettoyer
En cas de présence d'un proxy, un message apparaît avec cette question suivie de l'adresse IP du proxy.:
Avez-vous installé ce proxy ?
Si vous n'avez pas installé de Proxy, cliquer sur Non pour en accepter la réparation.



3)Il faut Réinitialiser votre Navigateur
en cliquant ici

Cela désinstallera plugins et extensions que vous pourrez réinstaller avec la prudence nécessaire,après redémarrage

4)Si besoin Mises à jour Java

JavaUpdate

Java peut mettre en péril la sécurité de votre ordinateur.
Il vous est fortement conseillé de le désactiver de vos navigateurs WEB, si vous en avez pas l'utilité.
Lorsqu'une application Java se présentera, un message d'avertissement vous demandera d'installer Java ou d'activer le plug-in.
Vous le désactiverez dès que vous aurez fini d'utiliser l'application écrite en Java.


5)Télécharger SFTGC.exe Ici
[http://ahp.li/87835e7bd821a1bbbeee.exe]ou Là[/url]
sur le Bureau, impérativement sous peine de risquer un plantage

Sous XP, double cliquer sur le fichier.
Pour les autres systèmes->clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Gopour lancer le nettoyage.
Un rapport apparait sur le bureau
Les fichiers supprimés sont dans la corbeille.
Cela donne la possibilité de replacer les fichiers supprimés par erreur dans leur dossier original.
Il suffit de faire un clic droit sur le fichier concerné => Restaurer.
Pour les supprimer, clic droit sur la corbeille => Vider la corbeille.


Comment poster les rapports
Aller sur le site Cijoint
Appuyer sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.
Sous Firefox, clic droit sur l'URL et, dans le menu contextuel qui s'ouvre, choisir « Copier l'adresse du lien »

Avec le navigateur Internet Explorer pour copier/coller sur le forum:
Cliquer sur le bouton, à gauche,en jaune sur la capture

Puis coller votre lien.

[Gilb76]

Bonsoir,

Dans mon message précédent, j'ai précisé que depuis le rapport ZHP posté en lien, j'ai réinitialisé ma configuration, pensant que Glary avait (définitivement) endommagé Windows (je l'ai aussi expliqué mon dernier message sur le topic « Disque dur PC HP non reconnu sur autre PC »). Or il se trouve que même après la réinstallation (depuis la partition de restauration) ce PC est toujours aussi lent ! pour vous dire, il doit fonctionner à seulement 5 % de la vitesse normale...

 

si Tonton me demande d'effectuer une désinfection, c'est qu'il pense que ce PC est probablement infecté, mais après une réinstallation, si virus il y a , il est donc :

- soit dans le bios,

- soit dans le (les) MBR(s) ?
- à moins qu'il ait contaminé des fichiers de la partition de restauration..

 

Ces précisions étant faites, me confirmez vous de faire ce que vous me recommandez dans votre précédent message (le script ZHPfix) ? Merci

[pear]

Après réinstallation de Windows Zhpfix est inutile mais pas Zhpcleaner

[Gilb76]

Bonsoir,

 

voici le rapport généré par ZhpCleaner, j'ai fait le scann et le nettoyage en mode sans échec (avec prise en charge réseau), car en mode normal, l'ordi est d'une lenteur qui rend son utilisation impossible. Apparemment, ZhpCleaner a juste trouvé une barre d'outils :

 

http://www.cjoint.com/c/EJjsTGiJGbr

 

sinon, votre lien vers SFTGC.exe ne marche pas (ou plus)..

 

j'y pense, autre piste ? au moment de la réinstallation, j'ai eu un message d'erreur, l'installation s'est interrompue, une fenêtre s'est ouverte avec un message accompagné d'un code d'erreur, un "code purple"

 

http://www.cjoint.com/c/EJjs4KjHmlr

 

j'ai réussi à passer outre via la méthode décrite ici (dans l'encadré), ceci dit, je ne suis pas sur que cette méthode résolve le problème, il est possible qu'elle ne permettre que de le contourner, car quelqu'un, plus bas (message du 29-12-2010 16h04) dit :

"- le déblocage du code purple a été réalisé par le service support HP (flash de la carte mère)" !! ...

 

http://h30478.www3.hp.com/t5/Ordinateurs-de-Bureau-Sprout-by-HP-Moniteurs-Syst%C3%A8me-d/URGENT-lt-CODE-PURPLE-gt/m-p/23709#U23709

 

Autre soucis, (ou conséquence du précédent ?) je n'ai jamais pu installer le pilote de la carte graphique, cette carte avait remplacée celle d'origine dont le ventilateur était fendu (mais marchait toujours !). A noter que la carte mère comporte elle aussi un port vidéo intégré; mais tous mes essais d'installation de pilotes graphiques ont échoués ; comme le montre ce cliqué, lorsque j'ai voulu réinstaller le pilote de la nouvelle carte graphique, une Asus nViddia GeForce GT610 (à dissipateur passif), qui marchait parfaitement avant...

 

http://www.cjoint.com/c/EJjthvE00ir

 

la propriétaire de l'ordi m'a dit que peu de temps avant, qq avait voulu installé un jeu cracké dessus.

Y a t'il un rapport ?.. toutes les analyses antivirus que j'ai pu faire n'ont rien donné, mais peut être

avez vous des utilitaires plus pointus à me conseiller ?.… merci d'avance

[pear]

C'est exact mais provisoire.

 

-=Suppression des fichiers temporaires=-


Téléchargez CCleaner
et installez le
à l'installation penser à décocher l'installation de Yahoo toolbar discrètement proposée en plus de CCleaner.
Lancez le en double cliquant sur CCleaner.exe

*Dans la section "Options" située dans la marge gauche,aller dans "Avancé" et décocher "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".
Dans l'onglet "Cookies"
Sélectionnez ceux que vous voulez sauvegarder.
Dans la section "Nettoyeur"
Cocher toutes les cases dans la marge gauche pour Internet Explorer et Windows Explorer
Faites de même pour Système sauf les 2 dernières
Dans Avancé, ne cochez que les 4 dernières sauf Nettoyer l'espace libre
Cliquer sur Analyse
Le scan, qui peut prendre un peu de temps si c'est la première fois.
Une fois le scan terminé, cliquer sur Lancer le Nettoyage
Paramètrez la section Applications en fonction de votre système

Evitez d'utiliser le nettoyage du Régistre qui, pour vous faire gagner quelques microsecondes, risque de déstabiliser votre système



Téléchargez TFC par OldTimer sur votre Bureau pour supprimer vos fichiers temporaires
Faites un double clic sur TFC.exe pour le lancer.
Sous Vista, faites un clic droit sur le fichier et choisissez Exécuter en tant qu'Administrateur
L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours auparavant.
Cliquez sur le bouton Start pour lancer le processus.
Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux.
Laissez le programme s'exécuter sans l'interrompre.
Lorsqu'il aura terminé, l'outil devrait faire redémarrer votre systèmepour parachever le nettoyage..
S'il ne le faisait pas,faites redémarrer manuellement le PC

[Gilb76]

Voilà, c'est fait.
Ccleaner a supprimé environ 1Mo de fichiers, et TFC.exe a quitté sans rebooter, en réaffichant le bureau.
Autres infos :
- windows demande maintenant à être activé, mais ça doit faire un mois que je l'ai réinstallé (fond du bureau noir).
- j'ai regardé un peu plus près le contenu du répertoire lié au "Code Purple", apparemment il contient un programme qui ne s'éxécute qu'une seule fois à la réinstallation, et dont le but est de déterminer si le matériel présent est identique à celui de la configuration d'usine.si ce n'est pas le cas -> "Code Purple" + arret du PC. c'est ce qui s'est passé, je suis passé outre ce message en supprimant le répertoire, car c'est ce que le programme fait si la conparaison réussit. sauf, qu'il est possible que les pilotes de la carte mère n'ont peut être pas été installés.. et ça expliquerait la lenteur de cette config... en plus, ces pilotes sont bien présents sur le disque, mais ils refusent d'être installés "manuellement". c'est pas gagné...

[pear]

Vérificateur des fichiers système pour résoudre les problèmes des fichiers système manquants ou endommagés sur Windows

Lisez d'abord Ce qu'en dit Microsoft

1) Ouvrez une invite de commandes avec élévation de privilèges.
Démarrer->Tous les Programmes->Accessoires->Clic droit sur Invite de commande
cliquez Exécuter en tant qu'administrateur.

Sous Windows Vista et+, cliquez sur Démarrer-> Invite de commandes ou cmd dans la zone Rechercher,
cliquez avec le bouton droit sur Invite de commandes-> Exécuter en tant qu'administrateur.

Si vous êtes invité à donner un mot de passe administrateur ou à confirmer une opération, tapez le mot de passe ou cliquez sur Autoriser.

2)Taper
Chkdsk /f/r

il l y a un espace après le k.

Windows vous dira qu'il ne peut exécuter cette commande car le disque est en "application"
et il vous proposera d'effectuer chkdsk au prochain redémarrage,
tapez O pour accepter, puis valider. et redémarrez le pc
La fonction chkdsk s'exécutera alors automatiquement.

le rapport de CHKDSK se trouve dans l'observateur d'évènements
Lire le rapports chkdsk

Double-Cliquer dessus pour l'exécuter pour XP.
Sous Vista et + clic droit -> Executer en tant qu'administrateur .

3) À l'invite de commandes,copiez/collez la commande suivante et valdez:
sfc /scannow
La commande sfc /scannow vérifie tous les fichiers système protégés et remplace les versions incorrectes par des versions Microsoft appropriées.
Sous windows 8 et 8.1:
En invite de commande Administrateur taper sfc /scannow
Il y a un espace après sfc


4)Pour déterminer quels fichiers ne peuvent pas être réparés par l'outil Vérificateur des fichiers système :

Clic droit sur le bureau->Nouveau document texte
Copier/coller les lignes vertes

@echo off
findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log > %userprofile%\Desktop\sfcdetails.txt

Enregistrer sous Cbs.bat sur le bureau
Cliquer droit sur Cbs.bat-> Exécuter en tant qu'administrateur.

Le rapport sfcdetailsrepair.txt s'affiche,