PC lent : infecté

[nicolas42]

Bonjour,
depuis quelques temps, mon PC "rame", avec l'impression qu'il ecrit constament sur le disque dur. La situation s'était améliorée avec l'instalaltion de 1M de RAM supplémentaire, mais bien dégradée aujourdhui, celle-ci ne semble pas en cause, j'utilise env 50% de celle-ci.
Ma messagerie est évidement remplie de spams que je jette ....
Bitdefender ne trouve jamais rien ou presque.
J'ai suivi la procédure de nettoyage des fichier + analyse cf fichiers joints.

Que faire : Pb matériel ou infection ?
-----

[invitec04351b8]

Bonjour,

[/B] Télécharger OTM par OldTimer.

• Enregistrer ce fichier sur le Bureau.
• Faire un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
• Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  
  Code:

  :services
  pnicml
  
  :files
  C:\DOCUME~1\MILLAR~1\LOCALS~1\Temp\pnicml.sys
  
  :reg
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
  "notification packages"=hex(7):"C:\WINDOWS\system32\srrstr.dll cecli scecli"
  
  :commands
  [purity]
  [emptytemp]

• Retourner dans la fenêtre de OTM, faire un clic droit dans la zone "Paste List Instruction for Items to be Moved" (sous la barre bleu clair) puis choisir Coller.
• Cliquer sur le bouton rouge Moveit!.
• Fermer OTM

Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTM\MovedFiles, poster le rapport le plus récent.

@+

[nicolas42]

Bonsoir,
j'ai bien executé OTM.exe, voici le fichier .log
A+

[invitec04351b8]

Bonsoir,

fais redémarrer l'ordi.

Refais tourner RSIT et poste le rapport.

===

Il y avait bien besoin de ménage dans les fichiers temporaires.

Comment va l'ordi ?

@+

[A voir en vidéo sur Futura]

[nicolas42]

Bonsoir,
j'ai fait un peu de menage depuis hier, bitdefender HS mais réinstallé depuis (j'avais supp. le fichier d'install sur le bureau qui devait encore servir ??).
Une question : impossible de supprimer "définitivement" le lancement au demarrage de ctfmon.exe. Comment faire ?

En résumé le PC semble déjà moins ramer.

A+

[invitec04351b8]

Bonsoir,

ouvre l'Explorateur Windows et cherche :

C:\Program Files\trend micro\Millarakis.exe

Fais un double clic pour relancer HijackThis (renommé).

• Choisis Do a scan only
  
• Coche la case devant les lignes suivantes
  
  
  Code:

  O3 - Toolbar: (no name) - {66886C4D-B307-4ECA-A228-52CA9B9851A4} - (no file)

  (si tu tiens à ne pas lancer cftmon, coche aussi la case devant :
  O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
  O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
  O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
  O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
  
  
• Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
  
• Clique sur Fix checked.
  
• Ferme Hijackthis.

@+

[nicolas42]

Bonjour,
voici les fichiers genérés par RSIT.
Par contre ctfmon.exe tjrs présent
A+

[invitec04351b8]

Bonjour,

pourquoi veux-tu absolument éliminer cftmon ?

===

ouvre l'Explorateur Windows et cherche :

C:\Program Files\trend micro\Millarakis.exe

Fais un double clic pour relancer HijackThis (renommé).

* Choisis Do a scan only
* Coche la case devant les lignes suivantes

Code:

R3 - Default URLSearchHook is missing

* Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
* Clique sur Fix checked.
* Ferme Hijackthis.


@+

[nicolas42]

Bonsoir,
ci-joint la dernière analyse.
En regardant les fichiers temp nettoyés via OTM, je suppose que ça n'avait jamais été nettoyé (faut il le faire et comment ? ) :
%systemroot% .tmp files removed: 7435120 bytes
%systemroot%\System32 .tmp files removed: 315920448 bytes

Concernant ctfmon.exe il ne m'est pas utile et fait partie de la liste des processus se lançant au demarrage (que j'essaie de limiter au maxi poureviter le syndrome 2CV), donc je l'appelerais quand j'en aurais besoin (je suis pas pressé de me mettre au braille).

A+ et encore merci

[invitec04351b8]

Bonsoir,

ATF Cleaner est un bon outil de nettoyage des fichiers inutiles (à utiliser une fois par jour) :

=>Télécharge ATF-Cleaner (Attribune)
-- Met le sur ton bureau

=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected

* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Quitte ATF-Cleaner

===

On va nettoyer les outils.

relance OTM, clique sur le bouton CleanUp!.

===
Purge la restauration système :


Ouvre ce lien : Restauration du système

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.
===

Comment va l'ordi ?

@+

[nicolas42]

Comment va l'ordi ?

RAS ça marche correctement.

A+