errorlog.txt et autres soucis

[Samira]

Bonjour,
J’ai changé d’ordi (et tous mes mots de passe) pour cause d’une liste longue comme le bras de choses anormales semblant indiquer que quelqu’un avait pris la main sur mon ordi. Sauf que ça recommence à nouveau, et je voudrais bien arrêter la chose avant d’en arriver au stade de l’ancien ordi . Donc j'ai :
-Des fenêtres noires (genre invite de commandes) qui flashent quand j’ouvre une session. Pas toujours, mais de temps en temps, dont aujourd’hui

- Des Plantage BSOD (écrans sur fond bleu) quand j’éteins qui flashent très vite et semblent indiquer (j’ai rarement le temps de lire vraiment) qu’un processus x ou y est en cours, est-ce que je suis sure de vouloir fermer. Pas toujours non plus, mais souvent, alors que je ferme tout avant de fermer une session

- Thunderbird se remet à envoyer les messages du compte X avec le compte Y (sur l’ancien ordi, ca a commencé comme ça, puis est apparu « recent : « devant presque toutes mes adresses maìl dans les paramètres de mes comptes mail thunderbird)

J’ai changé à nouveau tous les mots de passe de mes boîtes mail, pas deux identiques, tous longs et tarabiscotés, et me suis mise à la version portable de thunderbird, sur clé USB. Comme ça Thunderbird n’est accessible via le net que quelques minutes par jour, le temps de relever ou envoyer les messages. Le reste du temps, la clé est débranchée ou l’ordinateur est déconnecté du net. Ca marche à nouveau.

Hier j’ai scanné cette clé avec Remediate VBS Worm, puis vacciné avec Usbfix
Depuis :
-un ficher autorun.inf qui ne se voyait pas avant (même en affichant les fichiers cachés) est apparu sur la clé
- sur l'ordi, a chaque démarrage de session j’ai un fichier errorlog.txt de zéro octets qui s’ouvre. Il est dans mes programmes de démarrage. Si je désactive, il se réactive aussitôt.
Et hier, tout d’un coup, plus de son sur les videos (replay légal des chaines) : j’ai du réparer avec Windows

Là j’avoue que je craque… Voici les liens vers les scans FRST. Si quelqu’un peut m’aider à comprendre / résoudre, ce serait top
Si c’est utile, je peux faire la liste de tous les problèmes avec le précédent ordi, changé cet automne.. parce que ça y ressemble beaucoup.
Merci beaucoup

https://pjjoint.malekal.com/files.php?i ... e7z10p8e14

https://pjjoint.malekal.com/files.php?i ... 0w13t13y10

https://pjjoint.malekal.com/files.php?i ... m15g6x1512

log remediate:
https://pjjoint.malekal.com/files.php?i ... r12w7z11t5

[Malekal_morte]

Bonsoir,

On va faire dans l'ordre déjà.
N'utilise pas de clés USB pour le moment.


Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

~~


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start
CloseProcesses:
CreateRestorePoint:
 Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2019-02-12] ()
 EmptyTemp:
Hosts:
RemoveProxy:
Reboot:
End

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[Samira]

Merci beaucoup Malekal

Donc c'est fait. J'ai pas touché à Marmiton, je l'avais déjà, mais longtemps (jusqu'à un peu avant que je poste mon premier message) mal réglé (sans désactivation WSH).

J'ai vu que ça virait des trucs Opéra, que j'ai jamais réussi à désinstaller correctement.

Mais j'ai toujours errorlog qui s'ouvre ?

[Samira]

PS : l'ordinateur m'a demandé de redémarrer après, j'ai dit oui.

[Samira]

Et oups, j'ai pas copié le fichier texte...Je crois que c'est ça :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 13.02.2019
Exécuté par Odette (13-02-2019 21:53:28) Run:1
Exécuté depuis C:\Users\Odette\Desktop
Profils chargés: Odette & (Profils disponibles: Toutnouveau & Odette)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start
CloseProcesses:
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2019-02-12] ()
EmptyTemp:
Hosts:
RemoveProxy:
Reboot:
End
*****************

Processus fermé avec succès.
Erreur: (0) Impossible de créer un point de restauration.
Impossible de déplacer "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt" => Planifié pour déplacement au redémarrage.
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => impossible à supprimer
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => impossible à supprimer
"HKU\S-1-5-21-2113684613-684352918-2708742466-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2113684613-684352918-2708742466-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2113684613-684352918-2708742466-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02132019203839288\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2113684613-684352918-2708742466-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02132019203839288\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 77789018 B
Java, Flash, Steam htmlcache => 291 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 0 B
Firefox => 37715902 B
Opera => 76067473 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
LocalService => 0 B
LocalService => 0 B
NetworkService => 0 B
NetworkService => 0 B
Toutnouveau => 0 B
Odette => 39129769 B

RecycleBin => 1744619710 B
EmptyTemp: => 1.8 GB données temporaires supprimées.

================================

[Samira]

Et rePS : c'est OK si je fais les choses à partir du compte "simple"sans droits administrateur(Odette) ou je dois me mettre sur le compte administrateur, à partir duquel je ne surfe pas en général ?

[Malekal_morte]

Refais un scan FRST et donne à nouveau les rapports.

[Samira]

Désolée, j'avais pas vu la réponse
Les voici
Addition
https://pjjoint.malekal.com/files.php?i ... 5j11w7q6t9

FRST
https://pjjoint.malekal.com/files.php?i ... 8w14l15v15

Shortcut
https://pjjoint.malekal.com/files.php?i ... 5r7y5f13c8

Demain je pourrai lire qu'entre 14h et 16h. Puis après 19h.

Merci encore

[Samira]

J'ai fait le précédent sur un compte non administrateur et j'ai vu que le rapport disait "attention", du coup j'ai refait à partir du compte admin

Addition
https://pjjoint.malekal.com/files.php?i ... 14h6d15o14

FRST
https://pjjoint.malekal.com/files.php?i ... 5g11ortcut

Shortcut
https://pjjoint.malekal.com/files.php?i ... j10v9n13u6

[Malekal_morte]

Toujours ce errorlog.txt
On est d'accord que sur Marmiton, Windows Script Hosting est bien désactivé ?


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start
CloseProcesses:
CreateRestorePoint:
 Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2019-02-12] ()
 EmptyTemp:
Hosts:
RemoveProxy:
Reboot:
End

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


Refais un scan FRST et donne les rapports.

[Samira]

Malekal-morte : On est d'accord que sur Marmiton, Windows Script Hosting est bien désactivé ?

Pour moi, oui. Par contre toutes les cases à cocher pour faire une modif sont grisées, bien que je sois sur le compte admistrateur (cf lien ci dessous vers l'impression écran de la boite de dialogue marmiton).
https://pjjoint.malekal.com/files.php?i ... 15s7f11l12
Et c'est comme ça depuis l'automne, quand j'ai installé Marmiton, et bien que je l'ai désinstallé et réinstallé plusieurs fois. Quand je veux faire une modif, pour que les cases ne soient plus grisées, je dois faire un clic droit et refaire "exécuter en tant qu'administrateur".
Par contre, je sais pas si c'est bien ou pas, mais je n'ai installé marmiton que sur la session administrateur, pas sur l'autre.

Je suis en train de faire la correction.

[Samira]

On dirait que ça marche! Je n'ai plus errorlog qui s'ouvre, sur aucune des deux sessions, et il n'est plus dans la liste de mes programmes de démarrage. Merci beaucoup !

Pour le reste, je peux/ dois m'inquiéter ? Faire quelque chose ?

Pour les écrans bleus, ça ressemble pas tout à fait à ce que tu décris dans le lien que tu as donné. Les rares fois où j'ai eu le temps de lire, (ça flashe très vite, comme les fenêtres noires au démarrage) ça me demande si je veux vraiment fermer parce qu'un provessus est en cours. Sur l'ancien ordi, j'avais ce genre de choses, sauf que c'était des fenêtres grises qui me disaient genre Firefox est encore ouvert (alors que je l'avais fermé), voulez vous forcer l'arrêt. Ou Edge est encore ouvert (mais pas par moi, je m'en sers jamais)... Là j'ai aussi Edge qui se lançe parfois tout seul, alors que c'est plus mon moteur par défaut

[Malekal_morte]

On peut aussi utiliser WhoCrashed pour obtenir des informations sur ces plantages.
=> Tutoriel WhoCrashed
Fais un copier/coller du contenu ici comme indiqué dans le tuto.

[Samira]

Ok je m'y colle

[Samira]

Si je comprends bien, il trouve pas de crash ?

Code : Tout sélectionner

--------------------------------------------------------------------------------
Welcome to WhoCrashed (HOME EDITION) v 6.50
--------------------------------------------------------------------------------

This program checks for drivers which have been crashing your computer. If your computer has displayed a blue (or black) screen of death, suddenly rebooted or shut down then this program might help you find the root cause of the problem and a solution. 

Whenever a computer suddenly reboots without displaying any notice or blue (or black) screen of death, the first thing that is often thought about is a hardware failure. In reality, on Windows a lot of system crashes are caused by malfunctioning device drivers and kernel modules. In case of a kernel error, many computers do not show a blue or black screen unless they are configured for this. Instead these systems suddenly reboot without any notice. 

This program will analyze your crash dumps with the single click of a button. It will tell you what drivers are likely to be responsible for crashing your computer. It will report a conclusion which offers suggestions on how to proceed in any situation while the analysis report will display internet links which will help you further troubleshoot any detected problems. 

To obtain technical support visit www.resplendence.com/support

Click here to check if you have the latest version or if an update is available. 

Just click the Analyze button for a comprehensible report ...



--------------------------------------------------------------------------------
Home Edition Notice
--------------------------------------------------------------------------------

This version of WhoCrashed is free for use at home only. If you would like to use this software at work or in a commercial environment you should get the professional edition of WhoCrashed which allows you to perform more thorough and detailed analysis. It also offers a range of additional features such as remote analysis on remote directories and remote computers on the network. 

Please note that this version of WhoCrashed is not licensed for use by professional support engineers.

Click here for more information on the professional edition.
Click here to buy the the professional edition of WhoCrashed.


--------------------------------------------------------------------------------
System Information (local)
--------------------------------------------------------------------------------

Computer name: LAPTOP-7KGR1DQT
Windows version: Windows 10 , 10.0, build: 17763
Windows dir: C:\WINDOWS
Hardware: Aspire ES1-732, Acer, Seismo_AP
CPU: GenuineIntel Intel(R) Pentium(R) CPU N4200 @ 1.10GHz Intel586, level: 6
4 logical processors, active mask: 15
RAM: 4110647296 bytes (3,8GB)




--------------------------------------------------------------------------------
Crash Dump Analysis
--------------------------------------------------------------------------------

Crash dumps are enabled on your computer. 

Crash dump directories: 
C:\WINDOWS
C:\WINDOWS\Minidump

No valid crash dumps have been found on your computer


--------------------------------------------------------------------------------
Conclusion
--------------------------------------------------------------------------------

Crash dumps are enabled but no valid crash dumps have been found. In case you are experiencing system crashes, it may be that crash dumps are prevented from being written out. Check out the following article for possible causes: If crash dumps are not written out.