12 années sans jamais formater le disque dur

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

14juillet

12 années sans jamais formater le disque dur

par 14juillet »

Bonjour à vous toutes et tous.

Il y a quelques jours de cela, j'ai constaté au démarrage de Windows XP SP3 home, le lancement automatique de l'outil "clavier visuel" intégré a Windows. Pour autant, je n'ai jamais fais quoi que ce soit pour que cela se produise.

De plus, je remarque des ralentissements notables, peut être depuis l'installation de Comodo en août dernier ? Ainsi qu'un grand nombre de fichiers "svchost.exe" ouverts en même temps.

Depuis 2003, et en 12 années d'utilisation de ce PC, le disque n'a jamais été formaté une seule fois. Cependant, suite à une utilisation accidentelle de l'un de nos enfants, il a été procédé à une restauration en 2005 si je me souviens bien, ou une ré-installation "par-dessus", je ne sais plus exactement.

Je sais que c'est peut être trop demander à un si vieux PC, mais bon, vu qu'il fonctionne encore et s'il pouvait "tenir" jusqu'aux soldes de février 2015 ou nous nous équiperons de nouveaux matériels...

J'ai vérifié dans les options de CCleaner, il n'y a pas de lancement automatique afférent aux exécutables "osk.exe" et "msswchx.exe" tous deux affiliés au clavier visuel. Aussi étrangement qu'il est apparu au démarrage de Windows, le clavier visuel n’apparait plus depuis 2 jours, et là encore je n'ai rien fait de moi même pour que cela se produise...

Malewarebytes n'a rien reporté de particulier. Le scan au démarrage de avast! ne reporte aucune infection. Je me suis alors tourné vers des outils tels que TDSSKiller, Malewarebytes AntirootKit, ListCWall, AdwCleaner, ListParts.

Je vous avoue que je ne maitrise absolument pas ces outils, et c'est pourquoi je sollicite votre aide car étant très suspicieux de nature, j’aimerais assez être sûr que notre fidèle compagnon de PC ne nous joue pas des tours. Car dans l'exemple de AdwCleaner, il reporte des clefs de la base de registre qu’il "faudrait" donc supprimer... Je m'interroge pourtant concernant ces quelques clefs vu que ce logiciel ne donne aucune explication à propos de celles-ci. Sur quoi s'appuie donc AdwCleaner pour suspecter par exemple cette clef-ci ? :

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25A3A431-30BB-47C8-AD6A-E1063801134F}

Au passage, grâce à ce log d' AdwCleaner, j'ai pu désinstaller proprement ce programme invasif de Sony Ericsson, Pc Companion qui avait vampirisé jusqu'aux ports USB du PC. Puis, après désinstallation par "ajout-suppression", effectuer une restauration des pilotes USB originaux Microsoft, suppression manuelle de tous les drivers restants dans %system%\drivers (merci deprotect) et %system32%\drvstore ainsi que les entrées de la base de registre... Ouf !

Une autre chose sème le doute et la confusion dans mon esprit, le fichier "system-log" de Malwarebytes Anti-Rootkit qui rapporte une "Partition 0 type is Primary", puis Partition 1 type is Empty, Partition 2 type is Empty, Partition 3 type is Empty... Et à ma connaissance, je n'ai qu'un seul disque dur sur lequel ne figure qu'une seule partition ! Ou est l'erreur ?

Et enfin TDSSKiller signale "BootScreen" comme étant suspect, alors que voila bien 8 ans au moins que ce logiciel gratuit de chez Stardock qui permet le skin de l'écran d'accueil de Windows n'a jamais posé de problème ni à Malewarebytes ou avast!

Je me permets de joindre quelques fichiers images et logs, non pas pour vous appuyez sur ceux-ci afin de démarrer vos investigations si toutefois vous acceptiez de m' aider, mais pour vous fournir un premier éclairage sur mes soupçons. Notez au passage que dans ces fichiers logs, j'ai substitué les noms utilisateurs et PC par des étoiles, je n'aime pas trop que ces informations apparaissent au vu et au su de tous, j'espère que vous me pardonnerez cette démarche quelque peu excessive.

Si toutefois vous répondez favorablement à ma demande d'aide, et compte tenu de l’ancienneté de ce PC, serait-il possible d'utiliser des outils un peu plus sophistiqué du genre ComboFix ou OTL ou ZHPdiag en lieu et place des petits outils cités précédemment ? Ou même d' autres que je ne connaitrais pas et que vous voudriez bien m'indiquer.

De plus, étant très profane dans le monde informatique, je vous serai gré de bien vouloir me faire savoir si pour utiliser ces outils, je doive le faire en mode sans échec, déconnecté de l'internet, ou encore si je dois désactiver ou pas avast!, Malewarebytes, Comodo. Dans ce dernier cas de figure, avec toute protection inactive, peut-on procéder sans connexion internet ? Je veux dire par là, ces outils nécessitent-ils obligatoirement une connexion à l' internet pour fonctionner ?

En vous remerciant par avance de votre attention et de votre compréhension.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 110680
Inscription : 10 sept. 2005 13:57

Re: 12 années sans jamais formater le disque dur

par Malekal_morte »

Salut,

Je ne pense pas que le PC soit infecté.
Par contre Avast! + Malwarebytes + Comodo sur un vieux PC, ça peux faire beaucoup.

Pour voir :



Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
14juillet

Re: 12 années sans jamais formater le disque dur

par 14juillet »

Merci de votre prompte réponse ainsi que de votre disponibilité !

:oops: Désolé, j'ai un peu de retard, dans l'attente d'une réponse je m'étais lancé sur France 2 à regarder "faites entrer l'accusé" :gne2:

Je procède immédiatement à vos instructions.

Edit : Mince, je viens de lire votre billet sur OTL, mais cela ne répond toujours pas à ma question :

Dois-je faire hors connection internet ? Dois-je désactiver avast!, Malewarebytes et Comodo pendant l'analyse ?
Malekal_morte
Messages : 110680
Inscription : 10 sept. 2005 13:57

Re: 12 années sans jamais formater le disque dur

par Malekal_morte »

Non pas besoin de les désactiver.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
14juillet

Re: 12 années sans jamais formater le disque dur

par 14juillet »

Me re-voici, et désolé pour le retard, j'ai du conduire Madame à auchan pour hum, la réunion familiale de demain et sa traditionnelle "tarte" du dimanche qui l'accompagne immanquablement :niquel3: .

Donc je poste les logs sur le site en question. Ils m'ont l'air bougrement "épais". Je me demande toujours comment vous faites pour vous y retrouvez dans ce fatras d'information :zarb: .

Je l'ai un peu parcouru, et j'y vois des choses extrêmement anciennes, voire qui n'existent plus sur le PC mais dont il reste donc toujours des traces... Bigre, il faudrait vraiment que je me mette à Linux. Il parait que c'est beaucoup plus sécurisé d'un point de vue de toutes ces informations :

http://pjjoint.malekal.com/files.php?id ... x14h9x9o11
http://pjjoint.malekal.com/files.php?id ... 12d10w10t9

HOULA ! Ne sachant trop comment faire pour envoyer le 2 ème fichier "Extras", j'ai cliqué sur l'onglet Pjjoint Uploader, et immédiatemment, avast! à déclenché ceci :

Image
Image

Est-ce normal ? :ouch:

Merci de votre dévouement.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 110680
Inscription : 10 sept. 2005 13:57

Re: 12 années sans jamais formater le disque dur

par Malekal_morte »

Pour la détection sur pjjoint, c'est du zèle.
Pour la première détection, ça semble être un téléchargement en cours (.part), c'était dans le dossier téléchargement ou temp ?
On a pas le chemin complet.

Quoiqu'il en soit, le rapport est correct.

Tu devrais, je pense, désinstaller COMODO, Google Toolbar, BingBar
Free Download Manager vous vous en servez?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
14juillet

Re: 12 années sans jamais formater le disque dur

par 14juillet »

Malekal_morte a écrit :Pour la première détection, ça semble être un téléchargement en cours (.part), c'était dans le dossier téléchargement ou temp ?
Nom du fichier : m+bCYWkv.exe.part
dans le répertoire : C:\Documents and Settings\*****\Local Settings\Temp

Je ne télécharge QUE sur des sites officiels, au pire des vidéos sur Youtube... ET dans ce cas précis, je ne téléchargeais absolument rien... Cette alerte s'est déclenchée immédiatement après que j'ai eu fermé la première alerte "Pjjoint". Donc hum...

J'ai choisi de mettre ce fichier en quarantaine, mais il me fait peur à présent :help3:
Malekal_morte a écrit :Quoiqu'il en soit, le rapport est correct.
Donc si je vous entends bien, après 12 années de service SANS formatage, ce disque dur est sain et donc rien d'autre à faire en terme de désinfection ? Je ne voudrais pas faire mon hypocondriaque mais, même pas un p'tit truc parasite à évacuer ? Hum, j'ai l'impression de m'adresser à mon docteur là... :nimpkkoi: . Et ben si c'est le cas ça me laisse sans voix ça :confused:
Malekal_morte a écrit :Tu devrais, je pense, désinstaller COMODO, Google Toolbar, BingBar
Oui je veux bien, mais pour Google toolbar et Bing barre, il me semblait avoir lu en son temps que cela mettait en danger la sécurité du navigateur ? Est-ce vrai ? De plus si je le désinstalle, cela va-t-il supprimer cette petite barre dans Firefox ? :
Image

Sinon Comodo, bin je vais me retrouver juste avec le firewall Windows XP ? Il n'y a rien d'autre d'un peu plus léger que Comodo ?

Merci encore de votre patience et du temps que vous me consacrez.
Malekal_morte
Messages : 110680
Inscription : 10 sept. 2005 13:57

Re: 12 années sans jamais formater le disque dur

par Malekal_morte »

Oui le rapport est correct, donc rien à désinfecter!

Pour GoogleToolbar, comme tout programme, il peux y avoir à tout moment des vulnérabilités qui sont publiées qui permettent d'infecter l'ordinateur.
Donc moins tu en as qui tournent mieux c'est.

C'est surtout un super prétexte pour récupérer des informations => http://forum.malekal.com/les-toolbars-e ... t6173.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
14juillet

Re: 12 années sans jamais formater le disque dur

par 14juillet »

Ok, merci pour le rapport "correct" donc.

J'ai bien lu le billet concernant les toolbars. Bon je suis quand même loin de la douzaine que l'on peut voir sur la première image de ce sujet :mad: . J'ai donc la google dans firefox, et la bing dans IE, mais bon IE, je ne m'en sers jamais.

Cependant je n'ai toujours pas de réponse à mes questions :zarb: , notamment à propos de cette alerte d'un virus potentiel après avoir navigué sur votre site Pjjoint, je me cite :
14juillet a écrit :Nom du fichier : m+bCYWkv.exe.part
dans le répertoire : C:\Documents and Settings\*****\Local Settings\Temp

J'ai choisi de mettre ce fichier en quarantaine, mais il me fait peur à présent :help3:
Et encore sur Comodo, pourtant, j'avais cru comprendre que c'était un élément important pour la sécurité un "pare-feu" si j'ai bien lu les innombrables conseils que vous répétez à ce propos :
14juillet a écrit :Sinon Comodo, bin je vais me retrouver juste avec le firewall Windows XP ? Il n'y a rien d'autre d'un peu plus léger que Comodo ?
Et plus inquiétant encore, que faire avec ces clefs de registre signalées dans le rapport AdwCleaner que je vous ai fourni dans le tout premier post ? S'agit-il de menaces ? Si non pourquoi AdwCleaner les signalent-ils :zarb: ? Ces résultats fournis par AdwCleaner sont vraiment de nature à entretenir la confusion et le doute si de votre coté, qui êtes expert dans les désinfections, vous dites qu'il n'en est rien :help2: .

:merci: de votre réponse à venir :help2:
Malekal_morte
Messages : 110680
Inscription : 10 sept. 2005 13:57

Re: 12 années sans jamais formater le disque dur

par Malekal_morte »

Si pour pjjoint, j'ai répondu, c'est du zèle.
Les antivirus n'aiment pas trop les programmes en Autoit, notamment AdwCleaner est souvent détecté comme malicieux.

Oui le pare-feu, ça peux être important maintenant, je pense qu'avec un antivirus, quelques extensions sur le navigateur, maintenir à jour ses programmes, ça suffit.
Le problème c'est que ça peux faire beaucoup de programmes à l'arrivée, qui peux le ralentir, surtout si la machine est ancienne.
Après si le PC est pas plus lent avec COMODO et que ça te rassure, garde le.

Pour AdwCleaner les détections ne sont pas graves.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
14juillet

Re: 12 années sans jamais formater le disque dur [résolu]

par 14juillet »

Bonjour et :merci: de votre aimable réponse, ainsi que du temps que vous m'avez consacré :king: .

Bien sûr on est souvent à suspecter un virus ou autre malveillant dès lors que l'on constate des phénomènes "étranges" ou autre ralentissement sur le fonctionnement habituel de son PC.

Pour ce qui me concerne, j'ai constaté suite à vos remarques à propos du firewall COMODO, qu'il se produisait une surconsommation excessive des ressources et notamment du CPU dès l'usage de :

- Insertion d'un périphérique USB, mise en marche de l'imprimante relié au port USB du PC.
- Mise en route d'un logiciel utilisant les ressources AHCI du contrôleur Intel de la carte mère, par exemple InfraRecorder, CDBurnerXP ou Nero.

On constate également, sur un ancien CPU type P4 @3.2 Ghz HT par exemple, le "gel" ou l'extrême lenteur des logiciels utilisant le bus SATA. Les périphériques USB (clefs USB, imprimantes connectées sur le port USB etc..) insérés lors du fonctionnement de COMODO installé sur un PC utilisant un contrôleur de type Intel 82801FR SATA AHCI sont également extrêmement longs à s'initialiser.

En effet ces ressources, tant les ports sérial ATA (SATA) que les ports USB, sont gérées par le pilote Intel "Intel Matrix Storage Manager" du contrôleur Intel Serial ATA Intel 82801FR SATA AHCI.

Dans le gestionnaire des tâches de Windows, le processus "IAANTmon.exe" qui n'occupe pourtant que 4 268 Ko en mémoire fait immédiatement monter la capacité d'utilisation du CPU à 50% et plus, avec pour conséquences un "gel" de toutes les activités tant matérielles (clefs USB, imprimante sur port USB, lecteur/graveur de DVD sur port SATA etc...) que logicielles ( InfraRecorder, CDBurnerXP ou Nero etc...).

Si l'on désactive temporairement COMODO et que, en plus, on termine tous les processus afférents à COMODO dans le gestionnaire des tâches de windows (cmdagent, cis, etc..), les périphériques USB ainsi que les logiciels de gravure exploitants les ports SATA du PC fonctionnent à nouveau normalement.

Il y a donc une incompatibilité notoire entre COMODO et le pilote Intel Matrix Storage Manager version 6.2.1.1002 OU 7.0.0.1020.

La désinstallation pure et simple de COMODO règle définitivement le problème et tous les périphériques USB et logiciels utilisant le bus SATA retrouvent leur fonctionnement normal.

Ma première intuition n'était donc pas la bonne, et votre analyse des rapports OTL vous donne donc raison. Mais bon, si un jour on vous parle de "ralentissements" ou "freeze" de certains composants et logiciels de PC :bug: utilisant le même matériel que le mien, ce sera peut-être déjà une piste pour vous...

Merci !
Malekal_morte
Messages : 110680
Inscription : 10 sept. 2005 13:57

Re: 12 années sans jamais formater le disque dur

par Malekal_morte »

Wouah tordu PDT_007

Souvent les antivirus, comme ils se chargent bas, provoquent des problèmes (souvent ralentissement).
Les désinstaller est un bon test PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »