Centaines de processus rundll32, pc complètement figé au démarrage

[rj.rwld]

Bonjour, depuis quelques jours je rencontre ce souci, lorsque je démarre mon pc, des centaines de processus rundll32 se lancent d'eux mêmes et utilisent donc 100% de la mémoire vive, m'empêchant la moindre action. Le pc est totalement figé.
Par ailleurs, il y a également un message d'erreur impliquant rundll32, la pagination et je ne sais quoi d'autre, et ce message s'affiche en plusieurs exemplaires.
Je suis sous windows 7 64 bits.

J'ai fait une recherche de virus, j'ai également utilisé RogueKiller ainsi que AdwCleaner, sans résultat, cela ne semble pas être un virus.
Je précise que je ne peux pas faire de restauration d'aucune sorte, n'ayant aucune sauvegarde.

D'où peut venir ce souci ?

Merci d'avance !

[Malekal_morte]

Salut,

Faire FRST et si tu n'y arrives pas, à faire en mode sans échec avec prise en charge du réseau

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[rj.rwld]

Bonsoir et merci pour ta réponse, voici les trois liens demandés:



Je précise que ça a été effectué en mode ssans échec avec réseau, je ne peux pas le faire autrement.

!	Liens supprimé à la demande de rj.rwld

[Malekal_morte]

Pas l'air infecté même s'il y a des entrées bizarres ou suspcieuses.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Task: {5B5B2629-611E-4376-A23C-E621A33A8896} - System32\Tasks\klcp_update => CodecTweakTool.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 
 HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) 
Task: {73F665C4-9BC3-4824-B068-D5CF94349F3C} - System32\Tasks\{9789A9B8-46C1-41F6-B590-A575E21DAF5E} => C:\Program Files (x86)\Démo - ANNO 1503\1503Startup.exe
C:\Program Files (x86)\Démo - ANNO 1503
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[rj.rwld]

Voici le rapport demandé, te semble-t-il normal ?
A savoir que j'ai pu effectuer la manipulation en mode normal, j'ai utilisé l'option "redémarrer windows avec le dernière configuration valide connue" sur l'écran d'après le bios (f8). Le souci ne s'est pas manifesté cette fois-ci.
Je vais passer le pc sous antivirus / antimalware, maintenant qu'il est en utilisation "normale", je trouverai peut-être quelque chose.

---------------------------------------------------------------------------------------------------------------------------------------------------

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02.08.2018
Exécuté par * (12-08-2018 16:11:52) Run:3
Exécuté depuis C:\Users\*\Desktop
Profils chargés: * (Profils disponibles: *)
Mode d'amorçage: Safe Mode (with Networking)
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Task: {5B5B2629-611E-4376-A23C-E621A33A8896} - System32\Tasks\klcp_update => CodecTweakTool.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
Task: {73F665C4-9BC3-4824-B068-D5CF94349F3C} - System32\Tasks\{9789A9B8-46C1-41F6-B590-A575E21DAF5E} => C:\Program Files (x86)\Démo - ANNO 1503\1503Startup.exe
C:\Program Files (x86)\Démo - ANNO 1503
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Erreur: Un point de restauration ne peut être créé qu'en mode normal.
Processus fermé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5B5B2629-611E-4376-A23C-E621A33A8896} => non trouvé(e)
"C:\Windows\System32\Tasks\klcp_update" => non trouvé(e)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\klcp_update => non trouvé(e)
HKLM\SOFTWARE\Policies\Google => non trouvé(e)
"HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotPostWindows10UpgradeReInstall" => non trouvé(e)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{73F665C4-9BC3-4824-B068-D5CF94349F3C} => non trouvé(e)
"C:\Windows\System32\Tasks\{9789A9B8-46C1-41F6-B590-A575E21DAF5E}" => non trouvé(e)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{9789A9B8-46C1-41F6-B590-A575E21DAF5E} => non trouvé(e)
"C:\Program Files (x86)\Démo - ANNO 1503" => non trouvé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3565054547-3426234206-963167858-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3565054547-3426234206-963167858-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 2100480 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 8643078 B
Firefox => 111978246 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 43254243 B
systemprofile32 => 73318 B
LocalService => 66228 B
NetworkService => 136983584 B
Raphael => 862876980 B
UpdatusUser => 0 B

RecycleBin => 0 B
EmptyTemp: => 1.1 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 16:16:38 ====

[Malekal_morte]

ok vois si ça corrige le problème.

[rj.rwld]

Le pc a l'air de fonctionner à nouveau tout à fait normalement... Aucune idée précise de l'origine du problème, ni si cela se reproduira, mais pour le moment tout va très bien.
Merci pour ton aide.

[Malekal_morte]

Pour voir,

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

[rj.rwld]

Il n'y a pas eu de génération de rapport, uniquement ceci:

C:\Users\*\AppData\Roaming\PopupBlocker\uninstall.exe une variante de Win32/Adware.BrowSecX.AR Application nettoyé par suppression
C:\Users*\Winamax\Winamax Poker\META-INF\AIR\extensions\t14.ane.NativeEvents\META-INF\ANE\Windows-x86\NativeEvents.dll une variante de Win32/ParanoidFish.A application potentiellement dangereuse nettoyé par suppression
C:\Windows\assembly\GAC_32\System.Data.SQLite\1.0.66.0__db937bc2d44ff139\System.Data.SQLite.dll une variante de MSIL/Toolbar.Linkury.BM application potentiellement indésirable nettoyé par suppression

Rien qui me paraisse suspect ou à supprimer. Qu'en penses-tu ?

[Malekal_morte]

ouaip tout va bien, par sécurité, change tous tes mots de passe.


Tu peux supprimer le dossier C:\FRST =)

[rj.rwld]

Parfait merci !