Forum-seven : Communauté francaise de Windows 7

Bonjour à tous,

J'ai déjà cherché sur internet, mais en vain, le problème que j'ai est apparemment propre à chaque PC.
Voilà mon soucis : depuis environ 1 semaine, je ne sais pas pourquoi, le sablier de la souris tourne pendant 10 secondes, s'arrête 4 secondes, reprends 10 secondes, etc... et cela dure à partir du moment où j'ouvre ma session, jusqu'au moment où j'éteins mon PC, soit sans arrêt !! Pourtant, je n'ai rien changé à mes habitudes, rien d'installer de nouveau ...
Je suis donc venu vers vous pour savoir comment résoudre ce problème, car cela devient vraiment agaçant de voir la souris avec son sablier en train de charger.
J'ai déjà essayé un scan complet et lent (je possède Avast 7.0.1426), et un nettoyage avec CCleaner.
J'ai juste peur que ce soit un programme viral qui tourne en fond, ou un truc de ce genre là ...

Comment résoudre ce problème ?

Merci

Ma configuration : Windows Seven Edition Familiale
Avast v.7
Hp Pavilion

Bonjour,

Hormis le sablier qui tourne, as-tu remarqué d'autres anomalies, comme des ralentissements du système, un CPU saturé ..... ?

On va vérifier.

Nous allons établir un 1er diagnostic avec cet outil, suis bien les instructions indiquées :

OTL :

• Télécharge OTL de Old_Timer et enregistre le sur le Bureau
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  /md5start
  explorer.exe
  wininit.exe
  winlogon.exe
  userinit.exe
  svchost.exe
  /md5stop
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  hklm\software\clients\startmenuinternet|command /rs
  hklm\software\clients\startmenuinternet|command /64 /rs
  nslookup http://www.google.fr /c
  SAVEMBR:0
  CREATERESTOREPOINT

• Clique ensuite sur Analyse et patiente le temps du scan
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
• Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr et indique les liens fournis dans ta réponse.
  Les rapports sont sauvegardés sur le Bureau.

----------------------------------------------------------------------------------------------

TDSSKiller :

• Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau
• Double-clique sur TDSSKiller.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK
• Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
• En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, vérifie que :
  • Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
  • Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
  • Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
  • Si Suspicious file est indiqué, l'option Skip soit cochée
    Si un fichier de ce type C:\windows\123456789:987654321.exe (c:\windows\chiffres aléatoires:chiffres aléatoires.exe), l'option doit être sur Delete
    
• Clique ensuite sur Continue, puis clique sur Reboot computer
• Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum
  Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt

---------------------------------------------------------------------------------------------

Sont attendus les rapports :

• liens pour OTL.txt et Extras.txt
• TDSSKiller.Version_Date_Heure_log.txt

@+

Bonjour,

Merci de votre réponse très rapide
Voilà les liens vers chaque rapport :

Extras.txt : http://pjjoint.malekal.com/files.php?id ... 10y14h7x10

OTL.txt : http://pjjoint.malekal.com/files.php?id ... 08c10e12d9

TDSS Killer : http://pjjoint.malekal.com/files.php?id ... i13s9f9d15

Merci

Bonjour,

Tu as modifié ton fichiers Hosts, je pense que tu sais ce dont je parle !

Quelques éléments à nettoyer.

OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous

  :OTL
  IE - HKU\S-1-5-21-513818485-1392997395-394909140-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
  IE - HKU\S-1-5-21-513818485-1392997395-394909140-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTer ... 6076076471
  IE - HKU\S-1-5-21-513818485-1392997395-394909140-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?clien ... s}&locale=
  [2012/04/24 16:18:08 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
  O2:64bit: - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
  O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
  O3 - HKU\S-1-5-21-513818485-1392997395-394909140-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
  O3 - HKU\S-1-5-21-513818485-1392997395-394909140-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
  O4 - HKLM..\Run: [] File not found
  [2012/04/24 16:18:07 | 000,000,000 | ---D | C] -- C:\Users\Maël\AppData\Local\Babylon
  [2012/04/24 16:18:06 | 000,000,000 | ---D | C] -- C:\Users\Maël\AppData\Roaming\Babylon
  [2012/04/24 16:18:06 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
  [2012/04/24 19:48:34 | 000,000,021 | ---- | M] () -- C:\Windows\SurCode.INI
  2012/04/21 23:37:18 | 000,000,080 | -HS- | M] () -- C:\ProgramData\.zreglib
  @Alternate Data Stream - 975 bytes -> C:\ProgramData\Microsoft:07ZnyjissOs513LHHvhcx41jEuVy
  @Alternate Data Stream - 200 bytes -> C:\ProgramData\Temp:E6E3D650
  @Alternate Data Stream - 188 bytes -> C:\ProgramData\Temp:8927A071
  @Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:8A73166A
  @Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:CB0AACC9
  @Alternate Data Stream - 1073 bytes -> C:\ProgramData\Microsoft:ZnJASAC17ZNkdw6YU9ybV
  
  :Commands
  [EMPTYTEMP]
  [CREATERESTOREPOINT]

• Colle l'intégralité du code dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

----------------------------------------------------------------------------------------------

Malwarebyte's Anti-Malware :

• Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
• Clique sur Terminer
• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
• Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
• Sélectionne ton disque dur, puis clique sur Lancer l'examen
• A la fin du scan, clique sur Afficher les résultats
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
• Si un redémarrage est demandé, clique sur Yes
• Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse

---------------------------------------------------------------------------------------------

Sont attendus les rapports :

• C:\_OTL\MovedFiles\********_******.log
• mbam-log[date-heure].txt

@+

Bonjour,

Voilà les résultats des analyses :

Rapport OTL :

"All processes killed
========== OTL ==========
HKEY_USERS\S-1-5-21-513818485-1392997395-394909140-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-513818485-1392997395-394909140-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry key HKEY_USERS\S-1-5-21-513818485-1392997395-394909140-1000\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ not found.
C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml moved successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.
Registry value HKEY_USERS\S-1-5-21-513818485-1392997395-394909140-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_USERS\S-1-5-21-513818485-1392997395-394909140-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
C:\Users\Maël\AppData\Local\Babylon\Setup\HtmlScreens folder moved successfully.
C:\Users\Maël\AppData\Local\Babylon\Setup folder moved successfully.
C:\Users\Maël\AppData\Local\Babylon folder moved successfully.
C:\Users\Maël\AppData\Roaming\Babylon folder moved successfully.
C:\ProgramData\Babylon folder moved successfully.
C:\Windows\SurCode.INI moved successfully.
ADS C:\ProgramData\Microsoft:07ZnyjissOs513LHHvhcx41jEuVy deleted successfully.
ADS C:\ProgramData\Temp:E6E3D650 deleted successfully.
ADS C:\ProgramData\Temp:8927A071 deleted successfully.
ADS C:\ProgramData\Temp:8A73166A deleted successfully.
ADS C:\ProgramData\Temp:CB0AACC9 deleted successfully.
ADS C:\ProgramData\Microsoft:ZnJASAC17ZNkdw6YU9ybV deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 894524 bytes
->Temporary Internet Files folder emptied: 35648 bytes
->Java cache emptied: 9236111 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56466 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Invité
->Temp folder emptied: 1174258 bytes
->Temporary Internet Files folder emptied: 465849 bytes
->FireFox cache emptied: 53205172 bytes
->Flash cache emptied: 57605 bytes

User: Maël
->Temp folder emptied: 16124647 bytes
->Temporary Internet Files folder emptied: 7932538 bytes
->Java cache emptied: 23399059 bytes
->FireFox cache emptied: 972037557 bytes
->Flash cache emptied: 79864 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 132 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1821405830 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 61845 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 751 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 2.772,00 mb

Restore point Set: OTL Restore Point

OTL by OldTimer - Version 3.2.42.2 log created on 05062012_122309

Files\Folders moved on Reboot...
C:\Users\Maël\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot..."


Rapport Malware Bytes :

"Malwarebytes Anti-Malware (Essai) 1.61.0.1400
http://www.malwarebytes.org

Version de la base de données: v2012.05.06.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Maël :: PC-MAEL [administrateur]

Protection: Désactivé

06/05/2012 12:36:25
mbam-log-2012-05-06 (12-36-25).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 460273
Temps écoulé: 1 heure(s), 23 minute(s), 9 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Windows\assembly\tmp\U\000000cf.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\800000c0.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\KYXWKV\AKV.exe (Spyware.Ardamax.PGen1) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\KYXWKV\XNP.001 (Trojan.Ardamax) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\KYXWKV\XNP.002 (PUP.Keylogger.Ardamax) -> Mis en quarantaine et supprimé avec succès.

(fin)"

@+

Bonjour,

Merci pour les rapports.

Comment se comporte le système ?

---------------------------------------------------------------------------------------------

SX Check&Update :

• Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur SXC&U.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Au menu principal, clique sur le bouton Rapport
  
• Copie-colle le contenu de ce rapport dans ta prochaine réponse.

@+

Bonjour,

J'ai beau fermer toutes les fenêtres et les applications en cours, le programme SXCU ne démarre pas ...

Pourtant, quand je regarde les processus, le processus SXCU.exe est en route.

@+

Re,

Ton fichier corrompu peut-être ?
Supprime ce fichier et télécharge-le de nouveau.

Attention à la sandbox de Avast, il ne faut pas exécuter le fichier SXCU depuis la sandbox.

@+

Bonjour,

Même en retéléchargeant le fichier, cela ne marchait pas.
Le seul moyen que j'ai trouver c'est de desactiver avast, et la par magie ca marche.

Voilà le rapport :

SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-31 ... eckupdate/
---
Windows Version : Windows 7 64bits
Service Pack : 1
UserName : Maël
07/05/2012
17:54:27
version = v0.2.3
---
Windows Update Information :
AUOptions : 4
Automatically, no notification
---
Name : FlashPlayer ActiveX
Version : 11.2.202.235
Flash Player ActiveX est à jour

Name : FlashPlayer Plugin
Version : 11.2.202.235
Flash Player Plugin est à jour

Java Information :
Nom : Java(TM) 7 Update 4 (64-bit)
Version : 7.0.40
Java(TM) 7 Update 4 (64-bit) est à jour


---
Nom : Mozilla Firefox 12.0 (x86 fr)
Version : 12.0

Nom : Adobe Reader X (10.1.3) - Français
Version : 10.1.3
Adobe Reader est à jour

Name : Spelling Dictionaries Support For Adobe Reader 9
Version : 9.0.0
Adobe Reader n'est pas à jour!

Nom : Internet Explorer
Version : 9.0.8112.16421

Et à propos du sablier, je précise que rien n'a changé depuis toutes ces manipulations ...

@+

Bonjour,

C'est bon, tout est à jour.

kaiy a écrit :Et à propos du sablier, je précise que rien n'a changé depuis toutes ces manipulations ...

Ce ne serait pas d'origine virale ?

Il faudrait que tu cherches quels sont les processus en cours quand le sablier tourne, soit avec le Gestionnaire de tâches, soit avec Process Explorer de Mark Russinovich.

Fais quelques tests et tu me dis.

Soit on finalisera la procédure par la suite, soit on passera un autre outil.

@+