Le disque dur se remplit tout seul

[pear]

 

e bloque ici

"stopper momentanément le service "Windows Update" par la commande->cmd /k net stop wuauserv"

Plus simple:

 

Démarrer->Exécuter

tapez

Net stop wuauserv

validez

 

Une précision:

 

ouvrir le dossier %systemroot%\SoftwareDistribution

c'est

C:\windows\SoftwareDistribution

Modifié le 14 décembre 2015 par pear

[verodeperse]

malheureusement ça ne marche pas,

je n'ai récupéré qu'1,5Go et les dossiers se sont re-remplis dans les 5 minutes, exactement là où j'avais fait le vide...datastore.edb faisait 0,9Go quand je l'ai jeté, maintenant il fait 0,8GO...

 

êtes vous sur que vider la poubelle a permis de me débarrasser de la menace identifiée par SFTGC?

Modifié le 14 décembre 2015 par verodeperse

[pear]

1)

 

datastore.edb faisait 0,9Go quand je l'ai jeté

 

Suivez cette procédure:

http://forums.cnetfrance.fr/topic/171081-supprimer-lhistorique-windows-update-7-et-vista/

 

 

2)Désactivez Windefender.Un seul antivirus suffit.

 

Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

De même,votre navigateur peut bloquer un programme parce qu'il le croit dangereux.
Il faut donc décocher le blocage provisoirement
Sous Firefox ,
Options->Sécurité
Décocher : "Bloquer les sites signalés comme site d'attaque" .

Sous Chrome
Appuyer sur Ctrl+J (Downloads) -> "Récupérer le fichier malveillant" -> "Récupérer malgré tout"

Sous IE
Désactiver le filtre Smart Screen
[/color]

Vous devez trouver les 2 icônes Zhpdiag, Zhpfix,
Sur le bureau ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)

sinon,
il est là
Cliquer sur l'icône Zhpfix


Sous Vista et + clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer sur Importer
pour inscrire le texte dans la fenêtre vide qui s'ouvre


Script ZHPFix

Spybot - Search & Destroy v2.4.40
O4 - HKUS\.DEFAULT\..\Run: [spybotPostWindows10UpgradeReInstall] . (.Safer-Networking Ltd. - Makes sure Spybot 2 is there on Windows 10..) -- C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe ©
O4 - HKUS\S-1-5-18\..\Run: [spybotPostWindows10UpgradeReInstall] . (.Safer-Networking Ltd. - Makes sure Spybot 2 is there on Windows 10..) -- C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe ©
O42 - Logiciel: Spybot - Search & Destroy - (.Safer-Networking Ltd..) [HKLM][64Bits] -- {B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1 ©
HKLM\SOFTWARE\Wow6432Node\Safer Networking Limited
HKCU\SOFTWARE\Safer Networking Limited
O43 - CFD: 13/12/2015 - [] D -- C:\Program Files (x86)\Spybot - Search & Destroy 2
O43 - CFD: 13/12/2015 - [] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2
O43 - CFD: 13/12/2015 - [] D -- C:\ProgramData\boost_interprocess
O43 - CFD: 13/12/2015 - [] D -- C:\ProgramData\Spybot - Search & Destroy
O87 - FAEL: "{342CC224-5B77-46AA-940A-844986E6F1E4}" [in-None-P6-TRUE] .(...) -- C:\Program Files (x86)\Vuze\Azureus.exe (.not file.)
O87 - FAEL: "{0DCDB63C-CB2D-48F1-87EB-C47DF70DCB36}" [in-None-P17-TRUE] .(...) -- C:\Program Files (x86)\Vuze\Azureus.exe (.not file.)
O87 - FAEL: "TCP Query User{C3CBE612-2FBA-4E82-BA7E-1B373E5531A2}C:\program files (x86)\vuze\azureus.exe" [in-None-P6-TRUE] .(...) -- C:\program files (x86)\vuze\azureus.exe (.not file.)
O87 - FAEL: "UDP Query User{151B3226-5450-42E2-98CE-FFC4EAAF0466}C:\program files (x86)\vuze\azureus.exe" [in-None-P17-TRUE] .(...) -- C:\program files (x86)\vuze\azureus.exe (.not file.)
HKLM\SOFTWARE\Wow6432Node\McAfee
HKCU\SOFTWARE\MCAFEE
O43 - CFD: 14/08/2014 - [] D -- C:\ProgramData\McAfee


EmptyClsid
EmptyFlash
EmptyPrefetch
FirewallRaz
Ifeofix
Proxyfix
ShortcutFix
Sysrestore



Cliquer sur "Go" en bas, à gauche

Redémarrer pour achever le nettoyage.

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .
Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

2) Téléchargez sur le bureau ZhpCleaner
Désactivez vos protections: antivirus, ...
Fermez toutes les applications en cours (notamment votre navigateur)

Double cliquer sur Scanner pour lancer l'application
Sous Windows Vista / 7 / 8 clic droit > Exécuter en tant qu'administrateur
Accepter "les conditions d'utilisation"

Cliquer sur Nettoyer
En cas de présence d'un proxy, un message apparaît avec cette question suivie de l'adresse IP du proxy.:
Avez-vous installé ce proxy ?
Si vous n'avez pas installé de Proxy, cliquer sur Non pour en accepter la réparation.



3)Il faut Réinitialiser le Navigateur
ResetBrowser a pour objectif de réinitialiser les navigateurs internet Chrome, Firefox ou Internet Explorer.
Toutes vos données sont conservées comme vos mots de passes et vos favoris.
Dans certains cas, resetBrowser peut supprimer les navigateurs de votre ordinateur et les réinstaller avec leur paramètres initiaux
Si vous utilisez plusieurs navigateurs,réinititialisez les tous

Télécharger ResetBrowser
Ici

ou là




4)-=Suppression des fichiers temporaires=-

Télécharger SFTGC.exe Ici

sur le Bureau, impérativement sous peine de risquer un plantage

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
qui va nettoyer les fichiers temporaires.
Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.
Comment désactiver les protections résidentes

Bien évidemment, vous les rétablirez ensuite.
Dans Firefox ->Options->Sécurité
Décocher"Bloquer les sites signalés comme risque d'attaque"

Si cela ne suffisait pas ou en cas blocage:
Télécharger CTR.exe de Pierre 13 sur le bureau.
Sous Vista, Windows 7 et 8:
Faire un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.
Sous XP:
Double cliquer sur le fichier pour le lancer.
Après l'analyse, réparation, un rapport va s'ouvrir sur le bureau(CTR.txt)
Poster le contenu.



Sous XP, double cliquer sur le fichier.
Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.
Un rapport apparait sur le bureau
Les fichiers supprimés sont dans la corbeille.
Cela donne la possibilité de replacer les fichiers supprimés par erreur dans leur dossier original.
Il suffit de faire un clic droit sur le fichier concerné => Restaurer.
Pour les supprimer, clic droit sur la corbeille => Vider la corbeille.

Comment poster les rapports
Aller sur le site Cijoint
Appuyer sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.
Sous Firefox, clic droit sur l'URL et, dans le menu contextuel qui s'ouvre, choisir « Copier l'adresse du lien »

Modifié le 14 décembre 2015 par pear

[verodeperse]

je n'arrive pas à jeter le fichier edb.log (message qui dit utilisation en cours)

je n'arrive pas à jeter windows defender (message qui dit que je n'ai pas les autorisation requises)

 

voilà pour le rapportZHPfix

Rapport de ZHPFix 2015.10.19.9 par Nicolas Coolman, Update du 19/10/2015
Fichier d'export Registre :
Run by toshiba at 14/12/2015 17:10:04
High Elevated Privileges : OK
Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 07s)
Dossier Prefetcher vidé
Réparation des raccourcis navigateur

========== Clés du Registre ==========
SUPPRIMÉ:³ HKLM\SOFTWARE\Wow6432Node\McAfee
SUPPRIMÉ: HKCU\SOFTWARE\MCAFEE

========== Valeurs du Registre ==========
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIMÉ ProxyServer Value
SUPPRIMÉ ProxyEnable Value
SUPPRIMÉ EnableHttp1_1 Value
SUPPRIMÉ ProxyHttp1.1 Value
SUPPRIMÉ ProxyOverride Value

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIMÉS Flash Cookies (0)

========== Fichiers ==========
SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Restauration Système ==========
Aucun Point de restauration du système crée

========== Autre ==========
NON TRAITÉ Spybot - Search & Destroy v2.4.40


========== Récapitulatif ==========

[pear]

Pour Windefender vous devez avoir les droits Admin:(Exécuter en tant que Administrateur)

Pour edb.log il suffit de suivre la procédure avec attention

[verodeperse]

toujours pas reussi avec windows defender, en tout cas, en repassant, comme hier SFTGC, à nouveau 6 fichiers infecté, j'ai récupéré 15, 8 Go, mais c'est dejà en train de redescendre, en 2 heures à 15,4, sans rien avoir ajouté à ma mémoire..

le problème semble être toujours là

[pear]

Curieux votre affaire!

 

Télécharger
Farbar Recovery Scanner(FRST)
Choisissez la version 32 ou 64 bits en fonction de votre système

Installez FRST sur le Bureau et pas ailleurs
Fermez toutes les applications, y compris le navigateur
Double-clic sur FRST.exe et sur Oui pour accepter le Disclaimer]
Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sur le menu principal,
Cochez tous les options et cliquez sur le bouton Scan

A la fin du scan, un rapport FRST.txt s'ouvre.
Au premier lancement, un fichier nommé Addition.txt sera créé

Il y aura 2 rapports à poster.

Comment poster les rapports

Aller sur le site Cijoint

Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.
Sous Firefox, clic droit sur l'URL et, dans le menu contextuel qui s'ouvre, choisir « Copier l'adresse du lien »
Avec le navigateur Internet Explorer pour copier/coller sur le forum:
Cliquer sur le bouton, à gauche,en jaune sur la capture

Puis coller votre lien.

[verodeperse]

merci de votre aide, et de votre patience, j'espère qu'on va en venir à bout (du virus, hein, pas de nos patiences : )

voilà les rapports

http://www.cjoint.com/c/ELovLuhDnHG

 

http://www.cjoint.com/c/ELovMgfeBmG

[pear]

Nettoyage
Dans le Bloc-notes (Démarrer -> Tous les programmes -> Accessoires -> Bloc-notes)
Copier/coller le texte ci-dessous :

start
CloseProcesses:
ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\toshiba\AppData\Local\MEGAsync\ShellExtX32.dll Pas de fichier
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\toshiba\AppData\Local\MEGAsync\ShellExtX32.dll Pas de fichier
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\toshiba\AppData\Local\MEGAsync\ShellExtX32.dll Pas de fichier
CHR HKU\S-1-5-21-2480303594-2359165187-2427118290-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2480303594-2359165187-2427118290-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF Plugin HKU\S-1-5-21-2480303594-2359165187-2427118290-1000: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\toshiba\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [Pas de fichier]
end


Enregistrer le fichier sur le Bureau (au même endroit que FRST) sous fixlist.txt
Fermer toutes les applications, y compris le navigateur
Double-clic sur FRST64.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sur le menu principal, cliquer une seule fois sur Fix et patienter le temps de la correction

L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la réponse.

Vous avez sur votre machine Microsoft Corporation) C:\Windows\System32\GWX\GWX.exe
IL s'agit d'une mise à jour vers Win10.
il faut aller dans "programmes et fonctionnalités" puis dans "mises à jour installées", afin de désinstaller la MaJ Kb3035583 qui propose d'installer Win10.

Suivez ce tuto:
Lecrabeinfo.net/desinstaller-lapplication-obtenir-windows-10-supprimer-icone-windows-10.html

[verodeperse]

voila le rapport

http://www.cjoint.com/c/ELpmqMS5raG

 

pour GWX, j ai suivi la procedure, mais je n'avais pas de dossier GWX ni dans System32 ni dans SysWOW64

j ai quand même récupérer la procedure (que j'avais appliqué un peu à taton avant mais là avec le tuto, c'est plus précis) pour essayer à nouveau d eme débarrser de windowsdefendrer (et par la même occasion d'internet explorer dont je ne me sers jamais) impossible, tout comme lorsque je faisait la manip à tatons, j'ai beau mettre l'administrateur comme propriétaire, je ne suis pas reconnue comme l'adinistrateur, quand j'essaie d emodifier les autorisation, j'ai un message d'erreur avec accès refusé