Voir le sujet précédent :: Voir le sujet suivant |
Auteur |
Message |
ciliege
Inscrit le: 15 Sep 2006 Messages: 3
|
Posté le: 15 Sep 2006 à 1:29 Sujet du message: Lenteur impossible.... au secours |
|
|
Bonjour à toute l'équipe de DépanneTonPc.
J'espère que vous allez bien et que quelqu'un pourra me venir en aide car cette fois je ne trouve pas de solution.
Voilà, il y a deux jours j'ai décidé de faire une mise à jour Office. Seule 1 sur 3 a passé et après le redémarrage, le cauchemar a commencé.
Mon PC est si lent que j'ai envie de le lancer par la fenêtre. TOUTES les applications mettent une vie pour s'ouvrir (quand elles s'ouvrent), Internet subit les mêmes problèmes et le PC se bloque quasiment chaque fois.
Voici le log de hijack:
Log supprimé
Merci d'avance pour votre aide.
Ludovic |
|
Revenir en haut de page |
|
|
vin-moi Administrateur
Inscrit le: 28 Aoû 2004 Messages: 6897 Localisation: France
|
Posté le: 15 Sep 2006 à 18:05 Sujet du message: |
|
|
Salut, alors se log révèle un PC complètement vérolé et en plus de celà pas à jour et non sécurisé...
A mon avis, t'as assez de malwares pour ouvrir un musée ...
Bon dejà, tu es encore au SP1, SP1 = pas bien . Si tu veux un PC sécurisé, installe le SP2 (service pack 2) et fait un coup de windows update - c'est dejà plus important que mettre à jour office - sinon tu risque d'etre infecté encore et encore et encore ...
Bon, mise à part le SP2 pas installé, tu n'a ni firewall ni antivirus tournant en tache de fond ... En conclusion, ton PC a tous les points requis pour chopper à maximum de virus
Bon, passons à la désinfection :
Il va falloir suivre TOUTES les étapes que je vais te donner. Si tu as le moindre doute ou problème, demande, on est là pour ca.
Avant toute chose, rend toi dans démarrer > panneau de configuration > système > restauration système. Ici , désactive la restauration système pour tout les disques, afin d'eviter que les virus refassent surface après désinfection, ca serait bête. Après que tout soit nettoyé, tu pourrais la réactiver.
(Laurent)
Redémarre en mode sans echec (F8 au démarrage) puis :
Ensuite, tu faire un scan antispyware : pour cela, télécharge et installe le logiciel Ad-aware, met le à jour et lance un scan complet ("perform full system scan"). Supprime tous les fichiers trouvés.
Après le scan ad-aware :
Citation: |
* Lance ewido et clic sur l'onglet Scanner en haut
* Clique "Complete System Scan"
* le scan fini clique sur Apply All Actions
* Clique sur Save Report puis sur Save Report As
* Enregistre ce fichier .txt sur ton bureau.
* quitte Ewido |
(Laurent).
Toujours en mode sans echec, tu va refaire un scan hijackthis. Pour chaque ligne que j'ai cité en dessous, tu va les supprimer et suivre précisement les instruction en dessous de chacune d'entre elles. A noter qu'il est possible que certaines lignes ne soient plus présentes grace aux scans précédents. (a noter que j'ai pris le log par la fin ).
Alors :
Citation: |
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file) |
Cette ligne montre la présence du Trojan AdClick. Coche là et fait fix checked sous hijackthis.
Ensuite, dans le poste de travail, fait une recherche du fichier "vbsys2.dll" et supprime le si tu le trouve (si tu ne parviens pas à supprimer la dll, fait le en mode sans echec).
Ensuite, fait démarrer > executer > notepad.exe.
Dans le bloc note, copie les lignes suivantes :
Citation: |
REGEDIT4
[-HKCR\CLSID\(54645654-2225-4455-44A1-9F4543D34545)]
[-HKCR\CLSID\(54645654-2225-4455-44A1-9F4543D34545)\InProcServer32]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2\(54645654-2225-4455-44A1-9F4543D34545)] |
Enregistre ce document texte en .reg, par exemple clé.reg sur ton bureau.
Clic dessus et confirme que tu veux mettre à jour la base de registre. En principe, il ne devrait plus rester de trace du BHO.
Coche cette ligne et fixe là. Vérifie également si dial_1588_it.exe n'es tpas présent sur ton disque dur au cas ou, si oui supprime (en mode sans echec si besoin).
Si le site photoprintit.de t'es inconnus, supprime cette ligne.
Coche cette ligne et fixe là. Vérifie également si 10258-23.exe n'es tpas présent sur ton disque dur au cas ou, si oui supprime (en mode sans echec si besoin).
Pareil que précédemment , supprime et fait une recherche de internazionale_ver11.CAB.
Pareil que précédemment , supprime et fait une recherche de FreeAccess.cab
Pareil que précédemment , supprime et fait une recherche de securelogin-devel.cab
Pareil que précédemment , supprime et fait une recherche de ActiveSecurity.cab
Pareil que précédemment , supprime et fait une recherche de gsa_02029.exe
Citation: |
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab |
Citation: |
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab |
Pareil que précédemment , supprime les et fait une recherche de c:\ex.cab
Citation: |
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab |
Pareil que précédemment , supprime et fait une recherche de c:\eied_s7.cab
Citation: |
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab |
Citation: |
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab |
Citation: |
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab |
Citation: |
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab |
Pareil que précédemment , supprime et fait une recherche de c:\x.cab
Citation: |
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab |
Citation: |
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab |
Pareil que précédemment , supprime et fait une recherche de c:\ied_s7.cab
===> En gros dans hijackthis, supprime toutes les lignes commencant par : "O16 - DPF: {11111111".
A supprimer et vérifie également la présence de ktiveSekurity.cab sur ton disque.
Coche également toutes les lignes commencant par
" O15 - Trusted Zone: *" comme par exemple :
Citation: |
O15 - Trusted Zone: *.windupdates.com (HKLM) |
Citation: |
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.exe" |
Supprime également cette ligne et le fichier C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.exe
Citation: |
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\WINDOWS\system32\shdocpe.dll/asst.html |
Ligne à supprimer, et supprime le dossier C:\WINDOWS\system32\shdocpe.dll (qui contient asst.html)
Citation: |
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bssih.dll/sp.html#37049 |
Ligne également a supprimer, supprime aussi C:\WINDOWS\system32\bssih.dll/
Citation: |
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = res://C:\WINDOWS\system32\shdocpe.dll/asst.html |
De même que plus haut (en principe tu as dejà supprimé ce dossier).
Citation: |
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html |
Pareil
A noter également la ligne suivante :
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\F-Secure Anti-Virus\fswsclds.exe (file missing)
Elle correspond à l'antivirus F-secure, mais apparement tu l'a désinstallé ? Si tu l'a bien désinstallé, fait ceci (sinon non) :
Démarrer > executer > services.msc. Dans la liste, regarde le service qui correspond à F-secure, et fait clic droit > propriété > désactivé.
Après tout ce nettoyage, tu peux redémarrer en mode normal .
Maintenant on va faire un peu de néttoyage :
Télécharge Ccleaner et fait un néttoyage des fichiers et de la base de registre. Si tu as un problème avec le fonctionnement de ce logiciel, reporte toi aux nombreux tutoriels que tu pourras trouver sur google.
Ensuite, télécharge et installe le logiciel Regcleaner. Configure le et lance un néttoyage en suivant le tutorial [quote=http://www.depannetonpc.net/article64-nettoyer-la-base-de-registre.html]ici[/quote]
Après tout ceci, dis nous si cela va mieux, et refais nous un nouveau log hijackthis.
Quand tu seras désinfecté, je te précognise fortement de mettre à jour ton système avec le SP2+windows update, d'installer un firewall ou d'utiliser celui du SP2 et d'installer un antivirus : il en existe des gratuis comme Avast! ou bit defender free edition. _________________ |
|
Revenir en haut de page |
|
|
ciliege
Inscrit le: 15 Sep 2006 Messages: 3
|
Posté le: 17 Sep 2006 à 17:48 Sujet du message: |
|
|
Salut vin-moi et merci pour ta réponse.
Ici c'est vraiment la catastrophe... mais allons dans l'ordre.
Après avoir desactivé la restauration système, j ai fait le scan Panda en ligne qui m'a trouvé:
394 logiciels espions
19 outils
47 numérotateurs
Au moment de sauvegarder le rapport, un bug et IE s'est fermé.
A la deuxième tentative ça a passé.
Ensuite après avoir démarré sans echec ai fait analyse Ad-Aware qui m'a supprimé 8 virus.
Après ca ai lancé Ewido sans problèmes.
Ensuite me suis occupé du scan hijackthis comme tu me l'a decrit jusqu'au bout par contre à la fin je n'ai pas trouvé les fichier à supprimer:
ibm00003.exe
shdocpe.dll
bssih.dll
Après redémarrage en mode normal, j'ai lancé CCleaner qui m'a supprimé 18 erreurs.
Et finalement j'ai nettoyé la base de registre avec Regcleaner.
Mais au redémarrage malheureusement, le PC est toujours aussi lent.
Et pour te donner des exemples:
- pour rentrer dans le dossier C\Windows\system32 au moins 10 min.
- pour ouvrir le rapport de Panda 5 min.
et tout ca même en mode sans echec, sans compter les bugs variés qui ferment les programmes...
En plus il y qqch que je ne comprends pas:
1. j'ai souvent le message "Mémoire virtuelle minimale insuffisante" qui apparait alors qu'aucun programme ne tourne.
2.Dans le gestionnaire des taches, j'ai souvent l'historique d'utilisation du fichier d'échange qui est à 998 Mo.. ça signifie qqch??
Bref je ne comprends plus rien et suis navré de te déranger avec tout ça...
Je ne sais plus quoi faire a part reformater le disque dur???? Mais serais-je sur que ca le refera marcher comme au début???
Merci d'avance et voilà le scan d'Hijackthis après nettoyage...:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\ludovic\Bureau\utorrent.exe
C:\Documents and Settings\ludovic\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazzetta.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;local.,;localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {47866158-7894-C05F-E9AF-EA7EF16C8BE3} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ciliege.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124613457421
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.trafficredlight.net/10258-23.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Encore merci
Ludovic |
|
Revenir en haut de page |
|
|
vin-moi Administrateur
Inscrit le: 28 Aoû 2004 Messages: 6897 Localisation: France
|
Posté le: 18 Sep 2006 à 12:39 Sujet du message: |
|
|
Salut,
Dejà d'après le log c'est dejà bien plus propre de ce coté
Ensuite, as tu pensé à défragmenter tes partitions ? SI tu ne l'a jamais fait, utilise Diskeeper de préférence (tu trouveras certainement des tutorials sur google bien qu'il soit assez simple).
Ensuite, on va désactiver le service d'indexation : va dans le poste de travail > clic droit sur tes partitions disques > propriété . Ici, décoche "autoriser l'indexation de fichiers sur ce disque pour la recherche rapide". Juste au dessus, tu as une option concernant la compression, si elle est cochée, décoche là également. Tu dois le faire pour tous les disques dur et partitions présent dans le poste de travail.
En ce qui concerne ewido, regarde dans les options pour voir si tu peux désactiver son démarrage avec windows. Ce n'est pas nécéssaire d'avoir en permanence un antispyware du moment que tu fait un scan de temps en temps et en ce qui concerne la fonction antimalware, tu as dejà avast!. As mon avis, tu peux même désactiver ewido maintenant que tu as fait le nettoyage, parce qu'il fait un peu doublon avec avast!.
Tu as oublié de fixer cette ligne dans hijackthis :
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.trafficredlight.net/10258-23.exe
Sinon, fait également CTRL+ALT+SUPPR et va dans l'onglet processus. Regarde maintenant dans la colonne "processeur" et regarde si il y a un executable en particulier qui consomme beaucoup de ressources. _________________ |
|
Revenir en haut de page |
|
|
ciliege
Inscrit le: 15 Sep 2006 Messages: 3
|
Posté le: 19 Sep 2006 à 0:56 Sujet du message: |
|
|
Hello vin-moi et encore merci pour ton aide...
Alors, premièrement j'ai fixé la dernière ligne du log Hijack que j'avais oublié.
Ensuite j'ai fait la defragmentation avec disckeeper. Aucun problème, d'ailleurs il m'indique 90% d'espace libre sur mon DD vu que j'en ai un externe pour toutes mes photos, videos et musique....
J'ai décoché "Autoriser l'indexation etc...." et finalement j'ai supprimé ewido et tout les programmes qui me semblaient superflus..$
Le résultat final est qu'il n'y a aucun changement...
Dans le gestionnaire des taches, à la section Processur, j'ai qu'un élément qui bouge ( Processus inactif du système ) qui n'utilise pas bcp de mémoire mais par contre qui indique 99 dans la colonne Processeur.
Voilà...
Il ne me reste plus qu' à reformater c'est ca???
Merci
Ludovic |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 19 Sep 2006 à 6:06 Sujet du message: |
|
|
|
|
Revenir en haut de page |
|
|
Ajouter à :
|
|