plantage du pc en cours d'analyse avec malwayrbytes (résolu)

[palerider]

Nous allons vérifier que l'UAC est bien désactivé

• Menu démarrer
• Panneau de configuration\Comptes et protection des utilisateurs\Comptes d’utilisateurs
• Modifier les paramètres de contrôle de compte utilisateur
  
• Le curseur doit être en bas (si ce n'est pas le cas le déplacer vers le bas)
• Appuyer sur Ok l'ordinateur demande de redémarrer (le faire)
• On réactivera l'UAC quand ce sera terminé

[larazou]

Bonsoir.
Je viens de procéder également à l'analyse complète du DISQUE D avec malwayrbytes en mode sans echec.
10 éléments détectés dans les fichiers de sauvegarde de C.
Ci-après le rapport.
Bon week-end
Cordialement
Larazou

Malwarebytes Anti-Malware 1.65.1.1000
http://www.malwarebytes.org" onclick="window.open(this.href);return false;

Version de la base de données: v2012.12.15.03

Windows 7 Service Pack 1 x86 NTFS (Mode sans échec)
Internet Explorer 9.0.8112.16421
GHAZOUANI :: GHAZOUANI-PC [administrateur]

15/12/2012 11:13:53
disque D-mbam-log-2012-12-15 (11-33-48).txt

Type d'examen: Examen complet (D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 279726
Temps écoulé: 18 minute(s), 57 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 10
D:\CARTES ET NAVIGATION\SETUP CARTES MAPSOURCE TUTOS\garmin_kgen_v1.5.exe (RiskWare.Tool.CK) -> Aucune action effectuée.
D:\LOGICIELS ET FICHIERS NAVIGATION\garmin_kgen_1[1].5.exe (RiskWare.Tool.CK) -> Aucune action effectuée.
D:\LOGICIELS ET FICHIERS NAVIGATION\garmin_kgen_v1.5.exe (RiskWare.Tool.CK) -> Aucune action effectuée.
D:\SAUVEGARDES DIVERSES\BACK UP-BLOC NOTE-FAVORIS-BUREAU-CONTACT\bureau(2)au 26.6.11\RACCOUCI NAVIGATION\garmin_kgen_1.5.exe (RiskWare.Tool.CK) -> Aucune action effectuée.
D:\SAUVEGARDES DIVERSES\X LOGICIELS ET FICHIERS POUR HP DM 1-2040SF\BACK UP-BLOC NOTE-FAVORIS-BUREAU-CONTACT\bureau (1) au 29.06.11\RACOURCIS DIVERS\bureau(2)au 26.6.11\RACCOUCI NAVIGATION\garmin_kgen_1.5.exe (RiskWare.Tool.CK) -> Aucune action effectuée.
D:\SAUVEGARDES DIVERSES\X LOGICIELS ET FICHIERS POUR HP DM 1-2040SF\BACK UP-BLOC NOTE-FAVORIS-BUREAU-CONTACT\bureau au 12.02.11\RACCOUCI NAVIGATION\garmin_kgen_1[1].5.exe (RiskWare.Tool.CK) -> Aucune action effectuée.
D:\SAUVEGARDES DIVERSES\X LOGICIELS ET FICHIERS POUR HP DM 1-2040SF\BACK UP-BLOC NOTE-FAVORIS-BUREAU-CONTACT\bureau(2)dm1 au 26.6.11\RACCOUCI NAVIGATION\garmin_kgen_1.5.exe (RiskWare.Tool.CK) -> Aucune action effectuée.
D:\SAUVEGARDES DIVERSES\X LOGICIELS ET FICHIERS POUR HP DM 1-2040SF\SETUP DIVERS\internet download manager\Internet Download Manager 6.05 +keygen-patch [TrT-TcT]\c***k\SnDk&p.exe (RiskWare.Tool.CK) -> Aucune action effectuée.
D:\SAUVEGARDES DIVERSES\X LOGICIELS ET FICHIERS POUR HP DM 1-2040SF\SETUP LOG CARTES ET NAVIGATION\garmin_kgen_1[1].5.exe (RiskWare.Tool.CK) -> Aucune action effectuée.
D:\TUTO ANTIVIRUS ET AUTRES\Internet Download Manager 6.05 +keygen-patch [TrT-TcT]\Internet Download Manager 6.05 +keygen-patch [TrT-TcT]\c***k\SnDk&p.exe (RiskWare.Tool.CK) -> Aucune action effectuée.

(fin)

[palerider]

Salut,

Oui ce sont les patchs et les keygens, il vaut mieux les supprimer.

Par contre tu as toujours des choses à supprimer, j'aimerai aussi faire un scan anti rootkit au cas où dis moi quand tu es dispo

[larazou]

Bonsoir
Je suis disponible aujourd'hui demain et lundi
Bonne soirée

[palerider]

Nous allons retenter un fix, vérifie comme indiqué plus haut que l'UAC est bien désactivé, sinon le désactiver puis redémarrer l'ordi

Suis cette procédure dans l'ordre indiqué :
Ce script va cibler certains éléments à supprimer :

• Sélectionne et copie les lignes en gras ci-après situées entre les deux lignes :
  
  -------------------------------------------------------------------------------------------------------------------
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\CC94835868BCA58489B0D79DE655BCB1]
  [HKLM\Software\Classes\Installer\Features\D82C50F59AED6DA47AA360145789E8BA]
  [HKLM\Software\Classes\Installer\Products\D82C50F59AED6DA47AA360145789E8BA]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\D82C50F59AED6DA47AA360145789E8BA]
  [HKLM\SYSTEM\CurrentControlSet\Services\HssSrv]
  [HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv]
  [HKLM\Software\Microsoft\Tracing\Searchqu Toolbar uninstall_RASAPI32]
  [HKLM\Software\Microsoft\Tracing\Searchqu Toolbar uninstall_RASMANCS]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{56C049BE-79E9-4502-BEA7-9754A3E60F9B}]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\searchqu mediabar]
  C:\Program Files\Hotspot Shield
  C:\Program Files\WhiteSmoke
  C:\ProgramData\Hotspot Shield
  
  
  
  
  
  
  
  
  ------------------------------------------------------------------------------------------------------------------------
• Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
• Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
• Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) Attention uniquement les lignes sélectionnées
  Ne pas tenir compte du texte de la photo pour exemple !
  
• Clique sur le bouton GO pour lancer le nettoyage
• Copie/colle la totalité du rapport dans ta prochaine réponse.
  ( Attention : cette manip a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
  

NB : Il arrive que l'outil que tu vas utiliser ferme le processus "explorer.exe". Il est possible qu'après son exécution, ton bureau reste sans icône et sans barre des tâches.
Pas de panique !! il suffit de relancer explorer.exe

Pour cela, tu presseras simultanément ctrl+alt+suppr pour ouvrir le gestionnaire de tâches
Une fois dans le gestionnaire, tu cliqueras sur "fichier" et sur "nouvelle tâche"
Dans le champ de saisie, tu taperas explorer.exe et tu cliqueras sur OK
Tout redeviendra normal

[larazou]

Bonsoir.
j'ai mis en exécution tes instructions pour nettoyer le disque D via malwarebyte en mode sans echec.
J'ai également supprimer de ce disque les fichiers où se trouver ces anomalies ainsi qu'une lourde sauvegarde de mon pc.portable,qui fait double emploi avec celle enregistrée sur un disque externe.Le disque D est maintenant clean.
J'ai utilisé dans la foulée malware et ADWcleaner en suivant tes recommandations pour nettoyer mon P.C.portable,
Bonne soirée.
Larazou

Ci après rapport de ZHPfix :
Rapport de ZHPFix 1.3.10 par Nicolas Coolman, Update du 11/12/2012
Fichier d'export Registre :
Run by GHAZOUANI at 15/12/2012 18:40:09
Windows 7 Ultimate Edition, 32-bit Service Pack 1 (Build 7601)

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\CC94835868BCA58489B0D79DE655BCB1
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\D82C50F59AED6DA47AA360145789E8BA
SUPPRIME Key: HKLM\Software\Classes\Installer\Products\D82C50F59AED6DA47AA360145789E8BA
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\D82C50F59AED6DA47AA360145789E8BA
SUPPRIME Key: HKLM\SYSTEM\CurrentControlSet\Services\HssSrv
SUPPRIME Key: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv
SUPPRIME Key: HKLM\Software\Microsoft\Tracing\Searchqu Toolbar uninstall_RASAPI32
SUPPRIME Key: HKLM\Software\Microsoft\Tracing\Searchqu Toolbar uninstall_RASMANCS
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\searchqu mediabar

========== Dossier(s) ==========
SUPPRIME Reboot Folder**: c:\program files\hotspot shield
SUPPRIME Folder: c:\program files\whitesmoke
SUPPRIME Reboot Folder**: c:\programdata\hotspot shield


========== Récapitulatif ==========
10 : Clé(s) du Registre
3 : Dossier(s)


End of clean in 00mn 13s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 14/12/2012 20:36:35 [91706]
C:\ZHP\ZHPFix[R2].txt - 15/12/2012 18:40:10 [1601]

[larazou]

Nous allons vérifier que l'UAC est bien désactivé

• Menu démarrer
• Panneau de configuration\Comptes et protection des utilisateurs\Comptes d’utilisateurs
• Modifier les paramètres de contrôle de compte utilisateur
  
• Le curseur doit être en bas (si ce n'est pas le cas le déplacer vers le bas)
• Appuyer sur Ok l'ordinateur demande de redémarrer (le faire)
• On réactivera l'UAC quand ce sera terminé

Bonsoir.
je viens d'ouvrir le tableau de modification des paramètres de compte utilisateur:le curseur se trouvait déjà en bas ?
Faut-il refaire l'analyse avec ZHPFix ?

[palerider]

Le curseur en bas c'est bon l'uac est désactivé, on le remettra en service plus tard.

Pour le moment refait un ZHPDiag stp.



Et aussi une vérification du disque C



J'ai eu un cas où Malwarebytes plantait à cause d'erreurs sur le disque.

[larazou]

Bonsoir.
Ci après lien du Diagnostic fait par ZHPdiag:
bonne reception

http://pjjoint.malekal.com/files.php?id ... p611t14w13" onclick="window.open(this.href);return false;

[larazou]

J'ai effectué la vérification du disque C avec seulement la case"réparer automatiquement les erreurs de système de fichiers".