QUASI-FREEZE EN FIN DE BOOT

[CURIEUX]

Bonjour à tous,
Je viens directement en "post" en espérant ne pas avoir "shunté " le passage par une case préalable. Si c'était le cas ce serait croyez-le par ignorance et non pour une quelconque autre raison, et je m'en excuserais bien volontiers.
Je viens de découvrir le site Malekal's ainsi que son forum que je ne connaissais pas.
La qualité de ce site me fait penser avoir de fortes chances d'y trouver les personnes en mesure de me conseiller pour la résolution d'un problème rencontré depuis quelques temps:
Sur un PC(fixe) j'ai,
> reformaté le DD il y a moins d'un an,
> et dans la foulée installé Windows 7 Ultimate (32 bits) ainsi qu'une sélection de logiciels, très étroite afin de lui éviter de "ramer".
Au terme de cette intervention, ce PC était très réactif.
Mais depuis 2 mois environ il est le siège d'un phénomène étrange:
> il boote toujours normalement,
> mais arrivé en fin de boot, il est quasiment impossible de reprendre la main durant 5 à 8 minutes, comme si une
activité monopolisait toutes ses ressources,
> quand il rend enfin la main, il récupère toute sa vélocité, pour ne plus la reperdre jusqu'au prochain boot.
J'ai réussi toutefois
> à lancer le gestionnaire de tâches durant cette période de "quasi-freeze"mais sans rien déceler qui témoigne
'une surcharge: en effet ni le processeur ni la mémoire ne semblent saturés (Ils semblent même assez peu sollicités)
> à installer le logiciel Soluto pour mesurer lors du boot le temps de lancement de chaque processus. Mais à la lecture des résultats de Soluto aucun délai ne semble expliquer les longues minutes de blocages évoquées ci-dessus.
Je pourrais désactiver (mettre en lancement manuel) les processus un par un en rebootant après chaque désactivation , mais je suppose qu'il doit y avoir + intelligent que cette méthode un peu "lourde"
Je précise que ce PC est protégé par Kaspersky PURE dont l'analyse complète ne décèle aucun Malware sur le PC.
Merci par avance à ceux ou celles qui me permettront de résoudre, voire à minima de faire avancer, ce sujet.
Cordialement.

[Malekal_morte]

Salut,

et si tu démarres en mode sans échec ?


- Télécharge http://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.

[CURIEUX]

Bonjour Malekal_morte et merci pour ta réponse,
Je viens de faire 4 essais de boot en mode sans échec.
Le 1er a été pire qu'en mode normal: j'ai du couper électriquement car impossible de recouvrer la main.
Les 3 suivants ont en revanche eu un comportement qui m'a semblé normal.
Je suis ensuite repassé en boot normal et ai fait et envoyé le HijackThis requis.
Son lien est
http://pjjoint.malekal.com/files.php?id ... 14b8l13q13
Par avance merci pour ton aide.
Cordialement.

[Malekal_morte]

Désinstalle :
Tous les programmes Yahoo!
Tous les programmes AVG.

Fais un scan OTL :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

[CURIEUX]

Bonjour et merci pour ta réponse,
Je te joins le lien requis une fois toutes les opérations que tu décris effectuées:
http://pjjoint.malekal.com/files.php?id ... 13h1411r10

A noter quelques points peut-être importants:
J'ai ôté Yahoo via le panneau de config + suppression du répertoire du c: + suppression de tout ce qui dans le registre contient la chaîne de caractère "yahoo"
Dans le registre j'ai nettoyé peut-être par excès; en effet j'ai deleté une clé dont le nom ne comportait pas "Yahoo", mais en double-cliquant dessus son contenu apparaissait et incluait de nombreux items l'intégrant. Mais elle contenait également d'autres éléments que je n'ai pu identifier mais en .temp
Cette clé s'appelait Session Manager\PendingFileRenameOperations
J'ai aussi ôté 2 clés (ou peut-être dit-on "répertoire de clé" car c'était situé à gauche du regedit et en jaune) dénommées YAHOO~1.exe

idem pour AVG (Dont je n'avais pas conscience de disposer)
{N77S5Q77-2R2O-44P3-N6N2-NON601054N51}\nqfy GI\Eévavgvnyvfre nqfy GI.yax
contient "avg" mais en est-ce bien de l'AVG ?
ou encore "DllName" qui a comme valeur "avgssie.dll"
ou encore NewFeature11 contenant &V*tobQU{=mt944A?2fsg--}eUkA8AvgM}.1b.hyiK37Ltr$5=~}vJEl2gP2

Ces clès ont refusé de se laisser supprimer :
MinAvgToConsider_ms
AVG-Secure-Search-Update_JUNE2013_TB_rmv.job
AVG-Secure-Search-Update_JUNE2013_TB_rmv.job.fp
path ... de valeur : \AVG-Secure-Search-Update_JUNE2013_TB_rmv
LEGACY_AVGTP
DeviceDesc de valeur avgtp
Service de valeur avgtp
ActiveService de valeur avgtp
DeviceDesc de valeur avgtp

Cordialement.

[CURIEUX]

Bonjour,
C'est si grave que cela Docteur Malekal_morte ?
Cordialement.

[SkyTech]

Yop,

Ne t'embête pas comme ça avec les restes dans le registre

---

• Menu Démarrer, dans la barre blanche "Rechercher"
• Tape cmd, clic droit sur cmd.exe, Exécuter en tant qu'administrateur
• Dans l'invite qui s'ouvre, copie et colle cette ligne
  

  Code : Tout sélectionner

  chkdsk c: /F/R

Tape sur entrée , dans une fenêtre noir il va te demander si tu veut le faire au redémarrage, tape o (oui), tape sur entrée et redémarre, au redémarrage un écran bleu va s'afficher avec étape 1 sur 5... , c'est normal, il va rester pendant 1h ou 2h.

&

Télécharge Report_CHDSK.exe de Laddy sur ton bureau
Double-Clic dessus pour l'exécuter.
Le rapport va s'ouvrir dans le bloc-note.
Si ce n'est pas le cas, le rapport nommé RapportCHK_DD-MM-AAAA.txt se trouve sur ton bureau.
Poste-le dans ta prochaine réponse.

---

Téléchargez AdwCleaner( d'Xplode ) sur votre bureau.
Lancez le, cliquez sur [Suppression] puis patientez le temps du scan.
Une fois le scan fini, un rapport s'ouvrira.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Poste le rapport.

PS : Si le rapport est trop long pour être poster sur un message, tu peux utiliser un hébergeur : http://pjjoint.malekal.com/index.php?lang=fr

[CURIEUX]

Bonsoir SkyTech et merci beaucoup pour ton aide.
J'ai suivi tes conseils et tu trouveras
> RapportCHK_26-06-2013.txt en http://pjjoint.malekal.com/files.php?id ... w7h10s15h7
> et AdwCleaner[S1].txt en http://pjjoint.malekal.com/files.php?id ... b5b5u12m12
Cordialement.

[SkyTech]

'soir,

Relance AdwCleaner et prends Désinstaller.


Relance HijackThis (clic droit dessus, Exécuter en tant qu'administrateur), coche ces lignes en rouge et clic sur Fix checked.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [lxddmon.exe] "C:\Program Files\Lexmark 2500 Series\lxddmon.exe"
O4 - HKLM\..\Run: [lxddamon] "C:\Program Files\Lexmark 2500 Series\lxddamon.exe"
O4 - HKLM\..\Run: [ScanSnap WIA Service Checker] C:\Windows\SSDriver\fi5110\SsWiaChecker.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: DEMARRAGE.xls
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CardMinder Viewer.lnk = ?
O4 - Global Startup: Conversion au format PDF avec ScanSnap Organizer.lnk = ?
O4 - Global Startup: ScanSnap Manager.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

---

Vérifie les fichiers systèmes : http://forum.malekal.com/sfc-outils-ver ... 50094.html

[CURIEUX]

Bonsoir SkyTech
J'ai de nouveau suivi tes conseils.
Tout a fonctionné comme prévu jusqu'à "Vérifie les fichiers systèmes : http://forum.malekal.com/sfc-outils-ver ... 50094.html"
J'ai vérifié les fichiers système, et il me répond "avoir trouvé des fichiers endommagés sans réussir à les réparer.
Je n'ai pas réussi à retrouver trace de la log
J'ai tenté un SFC scannow en sans echec mais pas mieux
j'ai redémarré sur le DVD d'installation en choisissant l'option "réparation systême" mais lorsque je relance, que ce soit SFC /verifonly ou SFC /scannow il trouve toujours des fichiers endommagés et moi je ne trouve toujours pas de log.... SOS SOS
Par avance merci pour ton aide, peut-être + pas à pas, à partir de là.
Cordialement

[SkyTech]

'soir,

Tu peux faire ça dans le tuto :

Téléchargez le fichier cbslog.bat et enregistrez le sur votre bureau
Cliquez droit sur le fichier cbslog.bat et choisissez Exécuter en tant qu'administrateur
Le rapport de la commande SFC doit s'afficher à l'écran.

[CURIEUX]

Bonjour SkyTech
En effet, tu as raison. J'avais complétement négligé cette partie.
En l'exploitant je me suis aperçu que je ne cherchais (forcément) pas la log au bon endroit.
Comme j'avais déjà tenté sans succés une réparation en sans échec,je suis passé directement à la console de réparation, item "Invite de commande"
J'ai saisi la phrase magique : sfc /scannow /OFFBOOTDIR=C:\ /OFFWINDIR=C:\windows
J'ai eu en fin de traitement le retour suivant:
"Windows Resource Protection found corrupt files but was unable to fix some of them. Details are included in the CBS.log ......"
Je suis donc retourné sous W7 et j'ai extrait la log grâce à la méthode sur laquelle tu as insisté et te l'ai mise sous le lien: http://pjjoint.malekal.com/files.php?id ... 2h12n13g13
On y trouve visiblement la trace de mes précédents passages et à chaque fois le même couple est concerné.
Le fait que la console de recup ne permette pas la réparation ne veut il pas dire que le Kit d'install W7 avait déjà ce souci en germe. Je ne sais si cela est possible. Qu'en penses-tu ?
Cordialement

[SkyTech]

Yop,

Tu peux télécharger le fichier en question ici : http://www.dllme.com/dll/files/ehstorcertdrv_dll.html

Ensuite tu le places dans C:\Windows\System32\drivers\UMDF (si demande de remplacement, accepte).

Puis :

• Menu Démarrer, dans la barre blanche "Rechercher"
• Tape cmd, clic droit sur cmd.exe, Exécuter en tant qu'administrateur
• Dans l'invite qui s'ouvre, copie et colle cette ligne
  
  regsvr32 C:\Windows\System32\drivers\UMDF\EhStorCertDrv.dll
  
  Si un message d'erreur s'affiche, poursuit quand même
• Valide avec OK

Redémarre.

[CURIEUX]

Bonsoir à toi SkyTech et merci pour ta réponse,
J'ai effectué l'opération que tu m'as prescrite
> une 1ère fois sur le compte habituel , après quoi j'ai refait un scannow (même procédure que d'habitude) qui
m'a ressorti la même dll en anomalie
> je l'ai donc retentée une 2ème fois mais sur le compte administrateur.... hélas pas mieux
Les 2 fois, la manip "regsvr32 C:\Windows\System32\drivers\UMDF\EhStorCertDrv.dll" avait généré le message suivant:
RegSvr32
The module
"C:\Windows\System32\drivers\UMDF\EhStorCertDR...
may not compatible with the version of Windows that
you're running. Check if the module is compatible
with an x86 (32-bit) or x64 (64-bit) version of regsvr32.exe

Et le temps de freeze de fin de boot semble inchangé.
Cordialement.

[SkyTech]

Bonsoir,

Comme la DLL téléchargée n'est pas la bonne, j'ai fais une demande autour de moi pour trouver celle qui correspond à ta version de Windows ;)

En attente de celle-ci, je te réponds dès que je l'ai.