RADTools.exe, Pando Media Booster, ... ?

[invite9fbdc8c9]

Bonjour,

Mon PC à un comportement des plus étranges depuis deux jours. Je suspecte que ce soit lié à l'installation de programmes par mon épouse pour faire du traitement video :
- Pinnacle Video Spin pour faire du montage
- RADTools pour conversion MOV vers AVI
et sans doute quelques autres dans la foulée (mais pas forcément volontairement) car je me retrouve avec Real Media Renderer, DVD Video Soft et avec Pando Media Booster.

Ma configuration :
- Win XP SP3
- Firefox, Thunderbird, Avast antivirus (à jours, au moins jusque récemment, cf plus bas)
- Trois partitions sur le disque : C: (Windows + quelques programmes), D: (Programmes), E: (Documents)

Voici les symptômes :
-Au démarrage, windows lance une vérification du disque C:/. Au cours de celle-ci, il m'indique pour un grand nombre d'entrées (je dirais plusieurs centaines, ça défile pendant 5 minutes !) "Marques horaires non valides".

- Au démarrage, j'ai un message d'erreur "Une exception s'est produite lors de la tentative d'execution de "C:\Windows\system32\NvCpl.dll ,NvStartup"". Il s'agit des pilotes NVidia de ma carte video.
- Quelques instants plus tard (entre une et cinq minutes), un message m'informe que jusched.exe (planificateur de mises à jour de Java, si je ne me trompe pas) a rencontré un problème et doit fermer.

- Le système lague affreusement. En vérifiant dans le gestionnaire des taches, j'ai deux processus liés à Avast (AvastSvc.exe et AvstUI.exe) qui monopolisent 98 % du processeur, ce qui fait que celui-ci est en permanence à 100 % d'utilisation. Impossible d'arrêter Avast, même en tentant de terminer ces processus dans le gestionnaire de Tache. Par ailleurs, Windows m'informe qu'Avast n'est pas à jour, alors que dans l'utilitaire d'Avast, il s'annonce comme étant à jour. Toutefois, il arrive également qu'il me dise que l'ordinateur est protégé quand je survole l’icône dans la barre des taches, mais quand j'ouvre effectivement le gestionnaire Avast il m'annonce que le service Avast est arrêté. J'ai désinstallé Avast en ouvrant le PC en mode sans échec, j'ai récupéré une nouvelle version et l'ai réinstallée, en pensant que j'avais peut-être une version corrompue, mais le problème est resté le même.

- le phénomène semble progressif car au démarrage du PC, je peux lancer des programmes (firefox, thunderbird, word, VLC), ouvrir l'explorateur windows ou le panneau de configuration, mais au bout d'un moment (entre 1/4 d'heure et une 1/2 heure) le PC ne répond plus, restant sans réaction quand je clique sur une icone, ou m'affichant le message : "C:\Windows\system32\rundll32. exe : ressources insuffisantes pour exécuter le processus". Au final, je ne peux plus rien faire, même pas éteindre le PC, et il ne me reste plus qu'à couper l'alimentation.

- Le menu programme se vide progressivement : au début, tous les programmes apparaissent, puis certains sous-dossiers affichent "(Vide)", et au final c'est le menu programmes qui est vide.

- En regardant avec Autoruns les programmes qui s'exécutaient, j'ai découvert que j'avais Pando Media Booster installé, alors que je n'ai jamais installé ça. Si je tente de le desinstaller, il refuse, me disant que "uninst.exe à rencontré un problème et doit fermer. Gnagnagna rapport d'erreur ?" Après recherche sur le web, ça semble effectivement être un malware mais je n'ai vu nulle part qu'il entrainait autant de problèmes à lui tout seul.

- RADTools.exe semble également pouvoir être à la source d'infection mais j'ai surtout trouvé cette info sur des sites proposant l'outil magique permettant de réparer tous les problèmes de mon PC (genre PCSafeDocter.com ou exterminate-it.com), donc je ne sais pas trop qu'en penser.

- Un scan avec Malwarebyte's AntiMalware ne donne rien (aucun malware trouvé),
hijackthis.log
- Quand je lance RSIT, il affiche le disclaimer, puis m'annonce que RSIT à rencontré un problème doit fermer...

- en lançant ATF cleaner, il ne détecte pas Firefox

- Je joins le rapport de HiJackThis (qui lui fonctionne). J'ai également le rapport d'AutoRuns, mais au format .arn, si bien que je ne peux pas l'envoyer sur le forum. Si c'est nécessaire, je peux l'envoyer par mail.

Merci pour votre aide !

Nadelf
-----

[invitec04351b8]

Bonjour,

si tu as encore des soucis,

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[invite9fbdc8c9]

Mauvaise nouvelle, ZHPDIAG ne marche pas non plus. L'analyse se lance, mais bloque en cours de route et affiche un message "Argument incorrect pour l'encodage de date". A ce moment là, il est en train d'analyser des fichiers dans C:\Program Files\. J'ai relancé l'analyse trois fois de suite mais c'est toujours la même chose. Les deux premières fois, c'est en analysant le dossier C:\Program Files\Pinnacle. J'ai voulu supprimer le programme Pinnacle Video Spin pour supprimer ce dossier, mais comme la désinstallation n'a pas fonctionné, j'ai supprimer le dossier à la barbare avant de relancer l'analyse. Mais là encore l'analyse à bloqué, sur le dossier C:\Program Files\NOS. A priori, c'est lié à Adobe Updater.

Une idée ?

[invitec04351b8]

Bonjour,

essaye ça :


Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

@+

[A voir en vidéo sur Futura]

[invite9fbdc8c9]

Comme je le disais dans mon premier post, j'ai déjà essayé de faire un scan avec MBAM, mais qui n'a rien donné... Je crois que je suis tombé sur un client sérieux...

[invitec04351b8]

Bonsoir,

désolé pour MBAM, je suis allé trop vite.

Pour ZHPDiag,

- tu as bien téléchargé la dernière version (sinon, fais le et relance

- le blocage se fait à quel % d'avancement de ZHPDiag ?

- décoche le module qui correspond à ce pourcentage (clique sur le tournevis pour ouvrir la fenêtre qui permet de cocher et décocher les options).

@+

[invite9fbdc8c9]

Bonjour,

Désolé de ne pas m'être manifesté plus tôt, je n'ai pas trop de temps en ce moment.

J'ai réussi à faire un diagnostic sur les modules du début de l'analyse (jusqu'au 43%, celui qui bloque). Je joint le rapport. J'ai essayé de relancer l'analyse pour les autres modules, mais ça bloque toujours à un moment ou à un autre, je ne suis pas parvenu à obtenir un rapport. Le problème c'est qu'a chaque fois que le programme s'arrête, je ne peux plus le relancer (manque de ressources système) et donc je suis contraint de redémarrer le PC,à la barbare en général car plus rien ne répond.
ZHPDiag1.txt
Autre chose, qui pourrait aider, sur le même PC j'ai installé une partition sous Linux (Debian Squeeze pour être précis), de laquelle je peut accéder aux partitions sous windows. Peut-être peut on lancer des outils de cette partition pour chercher la cause du problème ?

Merci

Nadelf

[invitec04351b8]

Bonjour,

désinstalle Widestream.

===

Ouvre ce lien

http://support.kaspersky.com/fr/faq/?qid=208280685

et fais ce qui est indiqué sous "La réparation du système infecté".

Poste le rapport dans ta réponse.

@+

[invite9fbdc8c9]

Bonjour,

j'ai tenté de désinstaller Widestream, mais au cours du processus une boite de message apparait avec un panneau attention et un bouton OK, mais sans message, ce qui me semble suspect au plus haut point. Si je ferme cette boite (en cliquant sur la croix) on m'annonce qu'une erreur critique s'est produite au cours du processus d'installation.

J'ai lancé TDSSkiller, qui n'a rien trouvé, je joins le rapport.
TDSSKiller.2.5.22.0_28.12.9999_08.32.31_log.txt

Nadelf

[invitec04351b8]

Bonjour,

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

http://www.bleepingcomputer.com/comb...liser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

@+

[invite9fbdc8c9]

Bonsoir,

J'ai installé ComboFix. Au moment de le lancer, il m'a signaler qu'il fallait arrêter Avast. Hors, comme je l'ai dit plus haut, je ne peux pas arrêter les processus d'Avast, ni par le gestionnaire des taches ni par tskill. J'ai du redémarrer le PC en mode sans échec pour pouvoir désinstaller Avast avant de redémarrer, puis j'ai pu lancer ComboFix.
Voici le rapport :
ComboFix.txt

Nadelf

[invitec04351b8]

Re,

est-ce que ZHPDiag fonctionnerait maintenant ?

@+

[invite9fbdc8c9]

Salut,

Effectivement, ZHPDiag fonctionne maintenant , à l'exception du module 43 (Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData). Si je laisse ce module sélectionné, j'obtiens un message "Argument incorrect pour l'encodage de date" et le programme se bloque.

Voici le rapport :
ZHPDiag.Txt

Merci !

Nadelf

[invitec04351b8]

Bonsoir,


Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

G2 - GCE: Preference [User Data\Default] [eppeebfgcgojgpffkdcpiljephjaboki] Interest Recognizer for Widestream6 v.4.0.1938.5 (Activé)
[HKCU\Software\WideStream]
[HKLM\Software\widestream]
[HKCU\Software\WideStream]
[HKLM\Software\WideStream]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{835525BE-63BD-4EC4-9425-00CEAD4849C2}]
[HKLM\Software\Mozilla\Firefox\Extensions]:widestream6@spointer.com
C:\Program Files\Widestream6
C:\Documents and Settings\Administration\Application Data\Widestream
C:\Documents and Settings\Administration\Local Settings\Application Data\widestream6 Air
P2 - FPN: [HKLM] [@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf] - (...) -- D:\Tracker Software\npPDFXCviewNPPlugin.dll (.not file.)
P2 - FPN: [HKCU] [@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf] - (...) -- D:\Tracker Software\npPDFXCviewNPPlugin.dll (.not file.)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Fais redémarrer l'ordi, relance ZHPDiag et poste le rapport.

@+

[invite9fbdc8c9]

Voilà les rapports.

ZHPFix :
ZHPFix.txt
ZHPDiag (j'ai toujours le même problème avec le module 43) :
ZHPDiag.Txt

Merci,

Nadelf

[invitec04351b8]

Re,

mets à jour Internet Explorer et Firefox.

@+

[invite9fbdc8c9]

Bonjour,

C'est fait, j'en ai également profité pour faire toutes les mises à jours proposées par Microsoft Update (hormis l'installation de Microsoft Security Essentials et Microsoft Live que je n'utilise pas).

Nadelf

[invitec04351b8]

Bonsoir,

alors on en termine.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

@+

[invite9fbdc8c9]

OK, ça a marché. J'ai réinstallé Avast, qui fonctionne, et j'ai activé le pare-feu Windows. Je vais également créer un profil utilisateur pour tous les jours avec des droits réduits. Ça devrait me permettre de voir venir. Y-a-t'il autre chose que je puisse faire ?

Merci en tout cas pour l'aide, ça m'a évité la réinstallation de Windows !

Nadelf

[invitec04351b8]

Bonjour,

de rien pour l'aide, ce fut avec plaisir.

Faire les mises à jour des programmes (Windows, navigateurs, console java, Adobe Reader, ....) évite bien des problèmes.

Utiliser MBAM régulièrement.

Surfer "prudemment".

Il n'y a pas de risques 0. Mais ça les limite.

@+