Adlice forum

Software feedback => RogueKiller => Topic started by: zelaz on February 22, 2015, 10:34:49 am

Title: RK failed
Post by: zelaz on February 22, 2015, 10:34:49 am
Hello,

First, sorry for my English, I don't use this language each day... (Is it possible to speak french in this forum ?)
(I use this forum for the first time).

I have problems with RogueKiller (RK). Each time I use RK, I have the following message (in French):
In "Processus" :
Statut (Status)        Détection       Id      Nom (Name)   Chemin d'accès (Access)
Tué(e) [TermProc]   Proc.svchost  4232 svchost.exe    C:\Windows\System32\svchost.exe

RK says that is a malware and has to be killed.
But, the same malware is again here if i use RK a second time just after the first one.

Id is always different (4232, 3484, 3580... and so on) and the "Status" is sometimes "Tué(e) [TermThr]".

Today, RK has stopped in Prescan function at "Vérification de services : MpKsl0f2d6165" (80% analysis).
Impossible to stop RK. I have to reboot PC.

Have you some responses to give me ?
Thank you.

Zelaz
Title: Re: RK failed
Post by: Curson on February 23, 2015, 04:04:07 pm
Bonjour zelaz,

Bienvenue sur le forum Adlice.

Le français est tout à fait autorisé sur ce forum. :)
Quelle version de RogueKiller utilises-tu ? Le programme se fige-t-il systématiquement ?

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on March 13, 2015, 05:36:08 pm
Bonjour Curson,
Désolé pour le retard, j'avoue ne pas être venu sur le forum plus tôt à cause de priorités urgentes.
Ravi de savoir que l'on peut s'exprimer ici en français... l'anglais n'est pas mon fort...

Mes problèmes étaient liés à un temps de réponse dégueulasse. J'ai passé tous les programmes de nettoyage possibles, mais rien n'y a fait (CCleaner, Adwcleaner, MalwareBytes et RK). Je les ai passé plusieurs fois en 2 ou 3 semaines et aucun résultat.
Mais RK s'est subitement bloqué à 80% de préscan à "Vérification de services : MpKsl0f2d6165". En cliquant sur la croix rouge, il me dit "Travail en cours de fermeture" et rien ne se passe pendant plusieurs minutes. Obligé de redémarré le PC pour faire disparaître le programme.
Miraculeusement, cela a débloqué la situation. Mes temps de réponse se sont nettement améliorés.
Je ne sais pas si les deux problèmes sont liés. Je ne comprends pas.
Depuis, j'ai un autre problème qui est apparu. De temps en temps (2 fois en 1 mois), mes onglets ouverts de Firefox se figent. Aucune réponse possible. Si par Alt + Tab, j'affiche le Bureau, il est Noir, comme un redémarrage après coupure intempestive. Seules les icônes de la barre des tâches restent affichées. Après quelques instants, le bureau redevient Bleu, mais je suis obligé de couper Firefox. De plus, la case "Avertir lors de la fermeture de plusieurs onglets" de Firefox est systématiquement décochée.

Aujourd'hui, j'ai voulu répondre à ton message.
J'ai relancé RK, installé le 22/02/2015 avec la version du jour. Il s'agissait de la version de l'époque 10.4.1.0.
Une phase d'initialisation s'est aussitôt enclenchée, anormalement assez longue, puis un préscan qui s'est bloqué cette fois-ci à "Vérification de services : MpKsl8a55fe99". Comme le 22/02/2015, impossible d'arrêter RK.

Redémarrage. Chargement de la version actuelle de RK, 10.5.4.0, initialisation assez longue et préscan qui fonctionne correctement. Erreur toujours présente de "Tué(e) [TermProc] Proc.svchost Id svchost.exe" mais, à la différence des autres fois, pas de Chemin d'accès. Aucune autre erreur apparente. Des lignes de Rootkits en vert, 3 lignes de navigateur en vert.

Je ne sais pas si l'écran noir réapparaîtra.

Je ne sais si j'ai bien chargé RK. En bas de l'écran de chargement de RK, il y a 4 lignes :
RK (FossHub) avec "Portable 32 bits", "Portable 64 bits"
RK (Cloud)     avec "Portable 32 bits", "Portable 64 bits", "installer 32/64 bits"
RK (Local)      avec "Portable 32 bits", "Portable 64 bits", "installer 32/64 bits"
RK (Old GUI)  avec "Portable 32 bits", "Portable 64 bits"

J'ai choisi "installer 32/64 bits" de la 3è ligne (RK (Local)). Je pense que c'est ce qu'il fallait faire.

Cela me fait penser : Je suis équipé de Windows 7, 32 bits.
Est-ce normal que lors de l'analyse du registre, RK affiche :
Clé : [X64] suivi de la clé analysée ?

Merci de te pencher sur mon problème.
A bientôt.



 
Title: Re: RK failed
Post by: Curson on March 16, 2015, 10:52:59 am
Bonjour Zelas,

Peux-tu relancer RogueKiller avec l'option -nokill ?
Pour plus d'information, merci de parcourir le tutoriel officiel (http://www.adlice.com/fr/logiciels/roguekiller/roguekiller-tutoriel-officiel/).

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on March 24, 2015, 03:28:15 pm
Bonjour Curson,

Compliqué de travailler avec RK...

J'ai bien lu le tutoriel, mais beaucoup de choses ont changé et le tutoriel demande à être réactualisé... (vidéo de présentation, anciens fonds d'écran, etc;..) ou alors je n'ai pas chargé une version correcte.

1) Par rapport à ce tuto :
- Onglet "Antirootkit" : Il est possible de désactiver le scan Antirootkit en décochant la case "Antirootkit".
Où est donc cette case ?
- Ligne de commandes (Premium seulement) :
tu me demandes d'exécuter RK avec le paramètre -nokill. J'ai acheté la version Premium, mais il n'existe pas d'endroit où placer ce paramètre.

2) Je me pose des questions sur le logiciel que j'ai chargé. Est-ce le bon ?
Voici la demande de mon dernier message :

Citation :
----------
Je ne sais si j'ai bien chargé RK. En bas de l'écran de chargement de RK, il y a 4 lignes :
RK (FossHub) avec "Portable 32 bits", "Portable 64 bits"
RK (Cloud)     avec "Portable 32 bits", "Portable 64 bits", "installer 32/64 bits"
RK (Local)      avec "Portable 32 bits", "Portable 64 bits", "installer 32/64 bits"
RK (Old GUI)  avec "Portable 32 bits", "Portable 64 bits"

J'ai choisi "installer 32/64 bits" de la 3è ligne (RK (Local)). Je pense que c'est ce qu'il fallait faire.

Cela me fait penser : Je suis équipé de Windows 7, 32 bits.
Est-ce normal que lors de l'analyse du registre, RK affiche :
Clé : [X64] suivi de la clé analysée ?
(Fin de citation)
 
3) Voir le rapport d'erreur envoyé grâce à "Premium" :
- Depuis le dernier message un Rootkit noyau est apparu.
- A signaler, le chemin d'accès du processus : Tué(e) [TermProc] (qui était "C:/Windows/System32/svchost.exe") n'apparaît pas sur la dernière exécution de RK, alors qu'elle se trouvait sur la précédente.
- Comme signalé auparavant "Tué(e) [TermProc]" est remplacé parfois par "Tué(e) [TermThr]" lorsque je lance l'exécution de RK.

4) Je signale que j'ai "Avast" et "McAfee Security" (installé par défaut lorsque j'ai acheté mon PC, mais que j'ai désactivé (peut-être à tort ?) depuis).

Voilà. Que puis-je donc faire pour réparer le (ou les) problèmes ?
Merci encore de ton intervention.

Zelaz
Title: Re: RK failed
Post by: Curson on March 25, 2015, 08:37:57 pm
Bonsoir zelaz,

En effet, le tutoriel est un peu dépassé.
Voici ce que tu dois faire pour utiliser l'option nokill:
Lance RogueKiller à partir du raccourci. Il ne devrait plus se bloquer.
Poste le rapport obtenu dans ta prochaine réponse.

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on March 26, 2015, 08:54:58 pm
Bonsoir Curson,

Impossible de lancer RK comme tu le dis. Message d'erreur avec la version chargée 32 bits.

1) En laissant le champ Cible comme il est (entouré de "):
"C:\Program Files\RogueKiller\RogueKiller.exe -nokill"

En-tête de message : Problème de raccourci
Message  (C: précédé de ') :
Le nom 'C:\Program Files\RogueKiller\RogueKiller.exe -nokill' précisé dans le champ Cible n'est pas valide. Vérifiez que le chemin d'accès et le nom de fichier sont corrects.

2) En modifiant le champ Cible et entouré de '  :
'C:\Program Files\RogueKiller\RogueKiller.exe -nokill'

En-tête de message : Problème de raccourci
Message  (C: précédé de ") :
Le nom "C:\Program' précisé dans le champ Cible n'est pas valide. Vérifiez que le chemin d'accès et le nom de fichier sont corrects.

3) En modifiant le champ Cible et ôtant les "  :
C:\Program Files\RogueKiller\RogueKiller.exe -nokill

En-tête de message : Problème de raccourci
Message (C: précédé de ') :
Le nom 'C:\Program' précisé dans le champ Cible n'est pas valide. Vérifiez que le chemin d'accès et le nom de fichier sont corrects.

A plus.
Title: Re: RK failed
Post by: Curson on March 26, 2015, 11:44:28 pm
Bonsoir zelaz,

Peux-tu essayer en saisissant le texte ci-dessous dans le champ cible :
Quote
"C:\Program Files\RogueKiller\RogueKiller.exe" -nokill

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on March 27, 2015, 08:59:17 am
Bonjour Curson,

1) J'ai modifié Cible comme tu me l'as dit, mais rien ne se passe. Aucun écran ne s'affiche.
2) En faisant Clic droit sur le raccourci, je me suis aperçu que la Cible modifiée, avec -nokill, était conservée.
3) J'ai comparé le raccourci de CCleaner avec celui de RK et je me suis aperçu que dans l'onglet "Détails", le propriétaire de CCleaner était Administrateur, alors que celui de RK était Ordinateur/Utilisateur.
J'ai donc :
- a) Clic droit sur le raccourci.
- b) Renseigné RK avec Cible "C:\Program Files\RogueKiller\RogueKiller.exe" -nokill, sachant que la valeur était mémorisée.
- c) Clic droit sur le raccourci.
- d) Choisi l'option "Exécuter en tant qu'administrateur".

J'ai enfin pu obtenir le rapport voulu que je te joins ci-dessous. La ligne "Tué(e) [TermProc]" a été remplacée par "[NoKill]", mais le chemin d'accès a disparu.
D'autre part dans la colonne "AntiRootkit", la ligne qui désignait un Rootkit noyau a disparu.

Voici le rapport obtenu :
RogueKiller V10.5.7.0 [Mar 22 2015] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarré en  : Mode normal
Utilisateur : Utilisateur [Administrateur]
Démarré depuis : C:\Program Files\RogueKiller\RogueKiller.exe
Mode : Scan -- Date : 03/27/2015  08:41:46
Commutateurs : -nokill

¤¤¤ Processus : 1 ¤¤¤
[Proc.Svchost] svchost.exe(4980) --

¤¤¤ Registre : 0 ¤¤¤

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 [Too big!] ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: ST500LM012 HN-M500MBB ATA Device +++++
--- User ---
[MBR] 1c5af5af31010e6fdc8d9707c678ad93
[BSP] d3dda3335043f705982a55fdaf75e094 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 63 | Size: 392 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 803250 | Size: 476545 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Generic USB SD Reader USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive2: Generic USB CF Reader USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive3: Generic USB SM Reader USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive4: Generic USB MS Reader USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_DEL_01272015_170336.log - RKreport_DEL_01272015_174106.log - RKreport_DEL_02062015_091811.log - RKreport_DEL_02062015_100704.log
RKreport_DEL_02062015_103842.log - RKreport_DEL_02062015_103854.log - RKreport_DEL_02062015_103859.log - RKreport_DEL_02082015_093245.log
RKreport_DEL_02082015_095022.log - RKreport_DEL_02082015_155009.log - RKreport_DEL_02172015_112730.log - RKreport_DEL_02172015_115307.log
RKreport_DEL_03132015_164154.log - RKreport_DEL_03232015_152243.log - RKreport_DEL_03242015_112750.log - RKreport_DEL_03242015_115656.log
RKreport_DEL_03242015_152542.log - RKreport_SCN_01272015_164907.log - RKreport_SCN_01272015_172035.log - RKreport_SCN_02062015_091616.log
RKreport_SCN_02062015_094310.log - RKreport_SCN_02062015_103812.log - RKreport_SCN_02082015_093215.log - RKreport_SCN_02082015_094942.log
RKreport_SCN_02082015_154951.log - RKreport_SCN_02172015_112657.log - RKreport_SCN_02172015_115247.log - RKreport_SCN_03132015_163942.log
RKreport_SCN_03232015_143619.log - RKreport_SCN_03242015_111959.log - RKreport_SCN_03242015_114822.log - RKreport_SCN_03242015_135948.log

A plus.
Title: Re: RK failed
Post by: Curson on March 31, 2015, 09:02:46 pm
Bonsoir Zelas,

On avance.
Quote from: Zelas
J'ai enfin pu obtenir le rapport voulu que je te joins ci-dessous. La ligne "Tué(e) [TermProc]" a été remplacée par "[NoKill]", mais le chemin d'accès a disparu.
Peux-tu me dire quel est le chemin complet du processus svchost.exe détecté par RogueKiller ?

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on April 02, 2015, 03:12:31 pm
Bonjour Curson,

Le chemin d'accès détecté par RK est celui indiqué dans mon premier message :
C:\Windows\System32\svchost.exe.

A bientôt.
Title: Re: RK failed
Post by: Curson on April 03, 2015, 01:49:35 pm
Bonjour zelas,

Télécharge Farbar Recovery Scan Tool (http://download.bleepingcomputer.com/farbar/FRST64.exe) et enregistre-le sur le Bureau.
Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on April 05, 2015, 03:25:19 pm
Bonjour Curson,

J'ai téléchargé Farbar Recovery Scan Tool en suivant ton lien, mais il me charge FRST64.exe qui a planté, car je suis équipé de Windows 7 de 32 bits. J'ai essayé de charger FRST32.exe mais cela n'existe pas. J'ai passé quelques temps chez bleedingcomputer.com pour trouver finalement FRST.exe consacré aux 32 bits. Plus bas, les rapports.

J'ai vu cette semaine un installateur qui a été étonné que j'aie un système Windows 7, 32 bits, alors que cela devrait être 64 bits. Cela m'a fait penser à la question que je t'ai posée : Est-il normal que lors de la vérification des clés de registre, RK affiche : [X64] suivi de la clé ? Lorsque j'ai pris possession de l'ordinateur l'an dernier, l'installateur a-t-il fait une bêtise et m'a installé du 32 bits alors qu'il fallait mettre du 64 bits ? Ce n'est qu'une idée mais toi, qu'en penses-tu ?
Je n'y connais pas grand chose en technique...

Au moment de lancer FRST.exe, j'avais oublié qu'il fallait le lancer en tant qu'administrateur. Cela a quand même fonctionné. Les rapports "Addition" et "FRST" ont bien été générés. Je l'ai relancé ensuite en tant qu'administrateur, au cas où les différences entre les deux modes d'appel sont importantes.
J'envoie tout ça dans des messages différents, car cela dépasse les 20.000 caractères.

(Suite au message suivant)
Title: Re: RK failed
Post by: zelaz on April 05, 2015, 03:31:14 pm
Ouaaaaah, j'avais pas vu : "Attachments and other options"...

Ainsi donc :
1) Rapport "Addition"
2) Rapport FRST (en tant qu' Utilisateur)
3) Rapport FRST2 (en tant qu'Administrateur)         

Bon courage pour l'analyse et dis-moi ce qui cloche.
Merci.
Title: Re: RK failed
Post by: Curson on April 06, 2015, 05:18:46 pm
Bonjour zelas,

Quote from: zelas
J'ai téléchargé Farbar Recovery Scan Tool en suivant ton lien, mais il me charge FRST64.exe qui a planté, car je suis équipé de Windows 7 de 32 bits. J'ai essayé de charger FRST32.exe mais cela n'existe pas. J'ai passé quelques temps chez bleedingcomputer.com pour trouver finalement FRST.exe consacré aux 32 bits. Plus bas, les rapports.
Toutes mes excuses pour t'avoir donné un lien vers une version 64-bits de FRST.
J'étais persuadé que tu avais un système 64-bits à l'heure à laquelle j'ai posté.

Quote from: zelas
Cela m'a fait penser à la question que je t'ai posée : Est-il normal que lors de la vérification des clés de registre, RK affiche : [X64] suivi de la clé ? Lorsque j'ai pris possession de l'ordinateur l'an dernier, l'installateur a-t-il fait une bêtise et m'a installé du 32 bits alors qu'il fallait mettre du 64 bits ? Ce n'est qu'une idée mais toi, qu'en penses-tu ?
Tant que ces entrées n’apparaissent pas sur le rapport, il n'y a aucun problème.

Après analyse de du rapport de FRST :

Antivirus multiples
Le rapport indique que deux antivirus sont actuellement actifs sur ton système : Avast et Microsoft Security Essential.
L'utilisation de plusieurs antivirus est fortement déconseillée, cela pouvant être source de conflits. Aussi, je te conseille de désinstaller l'un ou l'autre.

Fix FRST
Télécharge le fichier attaché fixlist.txt et enregistre-le sur le Bureau.

NOTE. Il est important que les deux fichiers, FRST et fixlist.txt se trouvent dans le même emplacement, sinon la correction ne fonctionnera pas.

NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

Exécute FRST.exe, clique une seule fois sur le bouton Fix et attends.
Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement. Ensuite laisse l'outil terminer son travail.
Une fois terminé, FRST va créer un rapport placé sur le Bureau (Fixlog.txt). Copie/colle ce rapport dans ta prochaine réponse.

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on April 07, 2015, 05:41:16 pm
Bonjour Curson,

Plusieurs remarques...

1) Antivirus
Je possède 2 antivirus. J'avais déjà Avast, mais l'installateur de Windows 7 avait mis par défaut McAfee. Je l'ai désactivé au niveau du programme de démarrage. Dans CCleaner, Onglet "Outils", Option "Démarrage", McAfee n'est pas activé.
Si j'affiche le gestionnaire des tâches, je n'ai qu'une seule ligne concernant McAfee (Onglet "Services" du Gestionnaire des Tâches) : McComponentHostService (Libellé : "McAfee Security Scan Component Host Service" avec un Statut "Arrêté").
Je viens de voir qu'il était activé dans les modules complémentaires. Je l'ai donc désactivé.
Je ne sais pas si j'ai fait le tour de la question...

2) Fichier Fixlog.txt joint plus bas.
J'ai remarqué que le résultat concerne la suppression d'une Toolbar. Je n'en suis pas sûr mais il me semble que c'est celle que j'utilise fréquemment et je l'ai donc réinstallée. Si je n'y connais rien en technique, par contre je m'y connais un peu en programmation. J'ai développé des sites internet et j'ai utilisé la barre d'outils "Web développeur", fort utile pour les développements.

(voir ce qu'ils en disent sur "OpenClassRooms", anciennement "Site du Zéro" :
http://fr.openclassrooms.com/informatique/cours/la-gestion-des-erreurs-et-des-problemes-html/les-problemes-de-positionnement).

Je pense que c'est cette barre d'outils qui a été supprimée par la ligne récapitulative de "fixlog.txt" :
HKU\S-1-5-21-1260387401-602746684-684063498-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D3028143-6145-4318-99D3-3EDCE54A95A9} => value deleted successfully.

Par contre, par curiosité, j'aimerais bien savoir ce que signifient les autres suppressions :
- Service gdrv
- Service PCAMPR4
- Service PCANDIS4

3) Le 5 Avril, avant d'exécuter FRST.exe, j'avais tout nettoyé (CCleaner, AdwCleaner et RK) pour éviter que des instructions parasites apparaissent sur le rapport. Après Scan de RK, j'ai fait une "connerie" (si on peux dire). Le résultat était alors le même que précédemment (Ligne "Tué(e) [TermProc]", les lignes AntiRootkits en vert et la mention des 2 antivirus). Les lignes de "Hosts" étaient vierges. Par curiosité (et peut-être par imbécillité), j'ai cliqué sur le  bouton "Réactualiser le fichier Hosts". Il n'y avait aucune ligne Hosts, je pensais que RK n'en tiendrait pas compte.

Or, j'utilise WampServer 2.5 et des Hosts Virtual pour mes développements et ceux-ci ont été effacés par ma bêtise. Bon , pas de problème, je les ai recréés.

Là où il y a peut-être problème, c'est que j'avais dû exécuter Notepad++ avec les droits Administrateur pour modifier le fichier "Hosts". Or après le passage de RK, ces droits d'administrateur ont été ôtés. J'ai pu modifier le fichier "Hosts" avec de simples droits d'utilisateur. Je me demande, et seul toi peut le dire, si cela est gênant.

De plus, aujourd'hui, avant de lancer le "fix" avec "FRST.exe", j'ai refait un nettoyage du système avec CCleaner et RK. Dans l'onglet "Hosts" de RK, les Hosts Virtual que j'avais rajouté apparaissent maintenant en lignes vertes, alors qu'elles n'apparaissaient pas auparavant.

Y a-t-il quelque chose de particulier à faire, dans ce cas ?

A bientôt.
Zelaz 
Title: Re: RK failed
Post by: Curson on April 07, 2015, 11:16:40 pm
Bonsoir Zelas,

Quote from: zelas
Je possède 2 antivirus. J'avais déjà Avast, mais l'installateur de Windows 7 avait mis par défaut McAfee. Je l'ai désactivé au niveau du programme de démarrage. Dans CCleaner, Onglet "Outils", Option "Démarrage", McAfee n'est pas activé.
Si j'affiche le gestionnaire des tâches, je n'ai qu'une seule ligne concernant McAfee (Onglet "Services" du Gestionnaire des Tâches) : McComponentHostService (Libellé : "McAfee Security Scan Component Host Service" avec un Statut "Arrêté").
Je viens de voir qu'il était activé dans les modules complémentaires. Je l'ai donc désactivé.
Je ne sais pas si j'ai fait le tour de la question...
J'ai en effet constaté des restes de McAfee dans le rapport FRST mais je te parle bien de Microsoft Security Essential :

Code: [Select]
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MsMpEng.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe

Quote from: zelas
J'ai remarqué que le résultat concerne la suppression d'une Toolbar. Je n'en suis pas sûr mais il me semble que c'est celle que j'utilise fréquemment et je l'ai donc réinstallée. Si je n'y connais rien en technique, par contre je m'y connais un peu en programmation. J'ai développé des sites internet et j'ai utilisé la barre d'outils "Web développeur", fort utile pour les développements.

(voir ce qu'ils en disent sur "OpenClassRooms", anciennement "Site du Zéro" :
http://fr.openclassrooms.com/informatique/cours/la-gestion-des-erreurs-et-des-problemes-html/les-problemes-de-positionnement).

Je pense que c'est cette barre d'outils qui a été supprimée par la ligne récapitulative de "fixlog.txt" :
HKU\S-1-5-21-1260387401-602746684-684063498-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D3028143-6145-4318-99D3-3EDCE54A95A9} => value deleted successfully.
La barre d'outil "Web Developpeur" est  parfaitement légitime, en effet. A-t-elle été supprimée par FRST ?
Cette valeur correspond au reste d'une barre d'outil Orange. ;)

Quote from: zelas
Par contre, par curiosité, j'aimerais bien savoir ce que signifient les autres suppressions :
- Service gdrv
- Service PCAMPR4
- Service PCANDIS4
Il s'agit de services incorrectement désinstallés qui correspondent respectivement aux programmes "Dynamic Energy Saver Advanced" et "Broadcom Corporation Wireless Network".

Quote from: zelas
3) Le 5 Avril, avant d'exécuter FRST.exe, j'avais tout nettoyé (CCleaner, AdwCleaner et RK) pour éviter que des instructions parasites apparaissent sur le rapport. Après Scan de RK, j'ai fait une "connerie" (si on peux dire). Le résultat était alors le même que précédemment (Ligne "Tué(e) [TermProc]", les lignes AntiRootkits en vert et la mention des 2 antivirus). Les lignes de "Hosts" étaient vierges. Par curiosité (et peut-être par imbécillité), j'ai cliqué sur le  bouton "Réactualiser le fichier Hosts". Il n'y avait aucune ligne Hosts, je pensais que RK n'en tiendrait pas compte.

Or, j'utilise WampServer 2.5 et des Hosts Virtual pour mes développements et ceux-ci ont été effacés par ma bêtise. Bon , pas de problème, je les ai recréés.

Là où il y a peut-être problème, c'est que j'avais dû exécuter Notepad++ avec les droits Administrateur pour modifier le fichier "Hosts". Or après le passage de RK, ces droits d'administrateur ont été ôtés. J'ai pu modifier le fichier "Hosts" avec de simples droits d'utilisateur. Je me demande, et seul toi peut le dire, si cela est gênant.

De plus, aujourd'hui, avant de lancer le "fix" avec "FRST.exe", j'ai refait un nettoyage du système avec CCleaner et RK. Dans l'onglet "Hosts" de RK, les Hosts Virtual que j'avais rajouté apparaissent maintenant en lignes vertes, alors qu'elles n'apparaissaient pas auparavant.

Y a-t-il quelque chose de particulier à faire, dans ce cas ?
Non, cela ne pose aucun problème. Si ces lignes apparaissent en vert, cela signifie quelles sont détectés par RogueKiller mais reconnues comme légitimes.
Si tes vHosts fonctionnent correctement, c'est tout bon.

Comment se comporte le PC actuellement ?

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on April 08, 2015, 10:44:27 am
Bonjour Curson,

Ta question est : "Comment se comporte le PC actuellement ?"...
Euh... La même chose.

J'ai repassé RK et cela me donne exactement les mêmes résultats :
1 ligne rouge "Tué(e) [TermProc]" au terme du Pré-Scan et des lignes vertes dans "Fichier Hosts" (mes Virtual Hosts), "AntiRootkits" et les antivirus dans les navigateurs après le Scan.

A bientôt.
Title: Re: RK failed
Post by: Curson on April 10, 2015, 01:47:19 pm
Bonjour zelas,

Ce cas de figure est étrange.
J'ai demandé à Tigzy d'examiner ton sujet dès qu'il aurait un peu de temps pour avoir son avis et, je l'espère, tirer cela au clair.

Merci de ta patience.
Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on April 12, 2015, 11:54:33 am
Bonjour Curson,

Rien ne va plus... Les temps de réponse sont redevenus dégueulasses...
Je pense de plus en plus que cela vient de Mozilla-Firefox. Quand je l'ai chargé l'an dernier, je me suis trompé d'adresse (et pourtant j'ai fait gaffe...) et j'ai dû faire face à une bardée de virus, éliminés par MalwareBytes.
Je n'ai pas trop le temps actuellement, mais j'ai l'intention de désinstaller Firefox et le réinstaller.
Je te tiendrai au courant...

J'ai une question à te poser. Peut-être, sans prendre trop de ton temps,  pourras-tu me répondre ?
Depuis que les sites sont obligés de déclarer les cookies, les temps de réponse se sont de plus en plus dégradés.
Les Newsletter de journaux mettent un temps fou pour s'ouvrir (une fois par jour, il est vrai. L'ouverture semble codifiée et est conservée pour la journée). L'affichage de photos est longue ou, pour les vidéos, la diffusion est hachée (avec des coupures d'image et de son fréquentes).
Depuis, sur mon écran, apparaissent des pubs pour nettoyer le PC.
J'ai l'impression que des organismes ont placé sur mon ordinateur des virus indétectables par les anti-virus (AdwCleaner, RK) pour me pousser à acheter leur produit. Qu'en penses-tu ? Aurais-tu une adresse fiable à me fournir ?

Merci de ta patience, également.
A bientôt.
Title: Re: RK failed
Post by: Curson on April 13, 2015, 06:49:51 pm
Bonjour zelas,

Quote from: zelas
Rien ne va plus... Les temps de réponse sont redevenus dégueulasses...
Je pense de plus en plus que cela vient de Mozilla-Firefox. Quand je l'ai chargé l'an dernier, je me suis trompé d'adresse (et pourtant j'ai fait gaffe...) et j'ai dû faire face à une bardée de virus, éliminés par MalwareBytes.
Je n'ai pas trop le temps actuellement, mais j'ai l'intention de désinstaller Firefox et le réinstaller.
Je te tiendrai au courant...
Ces lenteurs se produisent-elles spécifiquement avec Mozilla Firefox ou l'ensemble du système est-il impacté ?
Je n'ai pas vu de traces d'infection dans le rapport FRST. En revanche, les logs système font état d'un système instable :
Code: [Select]
==================== Faulty Device Manager Devices =============

Name: H:\
Description: USB MS Reader   
Class Guid: {eec5ad98-8080-425f-922a-dabf3de3f69a}
Manufacturer: Generic
Service: WUDFRd
Problem: : Windows has stopped this device because it has reported problems. (Code 43)
Resolution: One of the drivers controlling the device notified the operating system that the device failed in some manner. For more information about how to diagnose the problem, see the hardware documentation.

Name: E:\
Description: USB SD Reader   
Class Guid: {eec5ad98-8080-425f-922a-dabf3de3f69a}
Manufacturer: Generic
Service: WUDFRd
Problem: : Windows has stopped this device because it has reported problems. (Code 43)
Resolution: One of the drivers controlling the device notified the operating system that the device failed in some manner. For more information about how to diagnose the problem, see the hardware documentation.

Name: G:\
Description: USB SM Reader   
Class Guid: {eec5ad98-8080-425f-922a-dabf3de3f69a}
Manufacturer: Generic
Service: WUDFRd
Problem: : Windows has stopped this device because it has reported problems. (Code 43)
Resolution: One of the drivers controlling the device notified the operating system that the device failed in some manner. For more information about how to diagnose the problem, see the hardware documentation.

Name: F:\
Description: USB CF Reader   
Class Guid: {eec5ad98-8080-425f-922a-dabf3de3f69a}
Manufacturer: Generic
Service: WUDFRd
Problem: : Windows has stopped this device because it has reported problems. (Code 43)
Resolution: One of the drivers controlling the device notified the operating system that the device failed in some manner. For more information about how to diagnose the problem, see the hardware documentation.


==================== Event log errors: =========================

Application errors:
==================
Error: (04/05/2015 11:30:48 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (04/05/2015 11:26:36 AM) (Source: Windows Search Service) (EventID: 7010) (User: )
Description: Impossible d’initialiser l’index.

Détails :
Le catalogue d’index des contenus est endommagé.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (04/05/2015 11:26:36 AM) (Source: Windows Search Service) (EventID: 3058) (User: )
Description: Impossible d’initialiser l’application.

Contexte : Application Windows

Détails :
Le catalogue d’index des contenus est endommagé.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (04/05/2015 11:26:36 AM) (Source: Windows Search Service) (EventID: 3028) (User: )
Description: Impossible d’initialiser l’objet rassembleur.

Contexte : Application Windows, Catalogue SystemIndex

Détails :
Le catalogue d’index des contenus est endommagé.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (04/05/2015 11:26:36 AM) (Source: Windows Search Service) (EventID: 3029) (User: )
Description: Impossible d’initialiser le plug-in dans <Search.TripoliIndexer>.

Contexte : Application Windows, Catalogue SystemIndex

Détails :
Élément introuvable.  (HRESULT : 0x80070490) (0x80070490)

Error: (04/05/2015 11:26:35 AM) (Source: Windows Search Service) (EventID: 3029) (User: )
Description: Impossible d’initialiser le plug-in dans <Search.JetPropStore>.

Contexte : Application Windows, Catalogue SystemIndex

Détails :
Le catalogue d’index des contenus est endommagé.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (04/05/2015 11:26:35 AM) (Source: Windows Search Service) (EventID: 9002) (User: )
Description: Le service Windows Search ne peut pas charger les informations de la banque de propriétés.

Contexte : Application Windows, Catalogue SystemIndex

Détails :
La base de données d’index des contenus est endommagée.  (HRESULT : 0xc0041800) (0xc0041800)

Error: (04/05/2015 11:26:35 AM) (Source: Windows Search Service) (EventID: 7042) (User: )
Description: Le service de recherche Windows a été arrêté à cause d’un problème avec l’indexeur : The catalog is corrupt.

Détails :
Le catalogue d’index des contenus est endommagé.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (04/05/2015 11:26:35 AM) (Source: Windows Search Service) (EventID: 7040) (User: )
Description: Le service de recherche a détecté des fichiers de données endommagés dans l’index {id=4700}. Le service tentera de corriger automatiquement ce problème en recréant l’index.

Détails :
Le catalogue d’index des contenus est endommagé.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (04/05/2015 11:26:35 AM) (Source: Windows Search Service) (EventID: 9000) (User: )
Description: Le service Windows Search ne peut pas ouvrir la banque de propriétés Jet.

Détails :
0x%08x (0xc0041800 - La base de données d’index des contenus est endommagée.  (HRESULT : 0xc0041800))


System errors:
=============
Error: (04/05/2015 11:27:28 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Le service Spouleur d’impression n’a pas pu démarrer en raison de l’erreur :
%%1069

Error: (04/05/2015 11:27:28 AM) (Source: Service Control Manager) (EventID: 7038) (User: )
Description: Le service Spooler n’a pas pu ouvrir de session en tant que NT AUTHORITY\SYSTEM avec le mot de passe actuellement configuré en raison de l’erreur suivante :
%%50

Pour vous assurer que le service est configuré correctement, utilisez le composant logiciel enfichable Services dans Microsoft Management Console (MMC).

Error: (04/05/2015 11:27:06 AM) (Source: Service Control Manager) (EventID: 7032) (User: )
Description: Le Gestionnaire de services de contrôle a essayé d’entreprendre une action corrective (Redémarrer le service) après la fin inattendue du service Windows Search, mais cette action a échoué en raison de l’erreur suivante :
%%1056

Error: (04/05/2015 11:26:36 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Le service Windows Search s’est terminé de manière inattendue. Ceci s’est produit 2 fois. L’action corrective suivante va être effectuée dans 30000 millisecondes : Redémarrer le service.

Error: (04/05/2015 11:26:36 AM) (Source: Service Control Manager) (EventID: 7024) (User: )
Description: Le service Windows Search s’est arrêté avec l’erreur service particulière %%-1073473535.

Error: (04/05/2015 11:26:32 AM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Le service wampmysqld s’est terminé de façon inattendue pour la 1ème fois.

Error: (04/05/2015 11:26:32 AM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Le service Intel(R) Management and Security Application User Notification Service s’est terminé de façon inattendue pour la 1ème fois.

Error: (04/05/2015 11:26:32 AM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Le service wampapache s’est terminé de façon inattendue pour la 1ème fois.

Error: (04/05/2015 11:26:32 AM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Le service NVIDIA Update Service Daemon s’est terminé de façon inattendue pour la 1ème fois.

Error: (04/05/2015 11:26:31 AM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Le service Service Partage réseau du Lecteur Windows Media s’est terminé de manière inattendue. Ceci s’est produit 1 fois. L’action corrective suivante va être effectuée dans 30000 millisecondes : Redémarrer le service.

Un autre soucis pourrait être la saturation la mémoire RAM disponible :
Quote
Percentage of memory in use: 79%
Total physical RAM: 2047.18 MB
Available physical RAM: 415.43 MB
Lorsque cela se produit, le système utilise le fichier d'échange de Windows (pagefile.sys) pour y stocker les données ne pouvant être stockée en RAM. Ceci peut-être une cause de ralentissements majeurs.

Quote from: zelas
Depuis que les sites sont obligés de déclarer les cookies, les temps de réponse se sont de plus en plus dégradés.
Les Newsletter de journaux mettent un temps fou pour s'ouvrir (une fois par jour, il est vrai. L'ouverture semble codifiée et est conservée pour la journée). L'affichage de photos est longue ou, pour les vidéos, la diffusion est hachée (avec des coupures d'image et de son fréquentes).
Normalement, cela n'influe pas sur les performances. Le problème se produit-il également avec un autre navigateur que Mozilla Firefox ?

Quote from: zelas
Depuis, sur mon écran, apparaissent des pubs pour nettoyer le PC.
Ceci est étrange. As-tu un bloqueur de publicités installé (par exemple, Adblock Plus) ?

Quote from: zelas
J'ai l'impression que des organismes ont placé sur mon ordinateur des virus indétectables par les anti-virus (AdwCleaner, RK) pour me pousser à acheter leur produit. Qu'en penses-tu ? Aurais-tu une adresse fiable à me fournir ?
Nous allons faire une vérification supplémentaire :
(http://i1118.photobucket.com/albums/k611/lhs22/2012081514h0118.png)

Merci de copier/coller le contenu du fichier TDSSKiller.[Version]_[Date]_[Time]_log.txt présent dans ton répertoire racine (habituellement C:\) dans ta prochaine réponse.

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on April 15, 2015, 05:27:17 pm
Bonjour Curson,

Désolé du retard à ta réponse, j'ai eu des problèmes urgents à résoudre...

Réponses à tes questions :
1) Temps de réponse liées à Mozilla :
Non, pas spécialement. C'est une idée que j'émettais, car j'avais eu des problèmes avec, l'an dernier, lorsque je l'avais installé (plein de virus).

2) Système instable :
C'est bien possible. Il me semble qu'il manque des programmes à Windows. De temps en temps, ça "saute". A partir de Google, par exemple, j'appelle une URL, l'image du site s'affiche, puis brusquement, l'image du bureau s'affiche une milli-seconde avant de réafficher le site. Ceci, de temps en temps, et pour n'importe quel site, de façon aléatoire. J'ai cité Google comme exemple, mais ce n'est pas le seul endroit où cela se produit.

3) Saturation de la mémoire RAM :
Cela voudrait peut-être dire que je dois l'augmenter.

Mon idée est que je change tout :
Acheter Windows 8 car Windows 7 n'est plus disponible, même pour réparer le logiciel actuel. De plus, l'installateur ne m'a pas laissé le CD de chargement de Windows 7.

J'en profiterai alors pour augmenter la mémoire RAM.

4) Temps de réponse :
Je ne pense pas que les temps de réponse (que je lie, peut-être à tort, aux performances) soient dûs à Mozilla. Je n'utilise pas les autres navigateurs (IE ou Chrome).

5) Bloqueur de publicité :
Je n'ai pas de bloqueur de publicité installé.

6) TDSSKiller de Kasperski :
Pas eu le temps de le passer. Réponse demain.

7) Ci-joint dernier rapport d'analyse de RK, bien que Tigzy m'ait envoyé un message de "Bonne réception".

A bientôt
Zelaz
Title: Re: RK failed
Post by: zelaz on April 16, 2015, 06:04:20 pm
Bonjour Curson,

Ci-joint le rapport TDSS de Kaspersky.

Petites remarques :
1) Comme tu as pu le voir, j'aime bien savoir ce que font les choses. Un peu touche-à-tout, (avec circonspection quand même), déclenchant involontairement quelques catastrophes (exemple : cliquer sur la Remise à niveau du fichier Hosts avec RK).
2) Pour TDSSKiller, j'ai essayé de le lancer hier soir. J'ai suivi tes instructions à la lettre. Le scan s'est déroulé facilement, très vite, et m'a affiché 1392 objets analysés. Pas de Rootkit détecté. Surpris d'une telle rapidité, je l'ai relancé. Très rapidement, il m'a affiché 1472 objets. Je teste toujours et j'ai alors 1486 objets. Je regarde le rapport, il est cumulatif, les 2è et 3è rapports se cumulent au premier.
Question : C'est peut-être normal, mais pourquoi le nombre d'objets analysés est différent à chaque fois ?
3) Lors de cet essai, comme tu me l'indiquais dans tes instructions, j'ai fait un reboot du PC.
Ce qui est assez normal, car l'antivirus Avast était désactivé. Je suppose que c'est TDSSKiller qui l'avait fait.
4) J'ai relancé TDSSKiller vers 17h00 ce soir, pour avoir un rapport simple et non cumulatif sur le traitement.
Or, là, le traitement s'est immédiatement bloqué. L'option Envoyer le Scan de TDSS est passée immédiatement à l'orange avec le symbole carré (Stop) et une boîte de dialogue 'Microsoft Security Essentiels' est apparue au bas de l'écran avec le message :
"Security Essentiels n'analyse pas votre PC car le service du programme s'est arrêté. Redémarrez-le maintenant. Cliquez sur 'Démarrer maintenant' pour démarrer le service".

Ce que j'ai fait. Le scan s'est alors déroulé normalement. Toujours pas de Rootkit détecté.
Une fois terminé, l'antivirus Avast n'était plus désactivé. J'ai toutefois fait un reboot du PC.

Infos :
====
Je ne t'ai que trop embêté avec mon histoire. Je suppose que tu as d'autres problèmes à résoudre. Je t'expose mes problèmes de temps de réponse, mais le problème initial était la ligne rouge de RK.

A la réflexion, je pense de plus en plus à ce que je disais dans le message précédent :
Changer de PC (il y a peut-être des problèmes disques, instabilité du système, tu me disais...). Acheter la version 8 de Windows. Cela va prendre quelques temps (je n'en ai pas en ce moment, et il va falloir en prendre quand même) car je dois préparer les sauvegardes pour tout réinstaller ensuite, réinstaller WampServer, etc...

Je te propose la chose suivante :
Soit on laisse tout tomber, je change le PC, donc le problème disparaît de lui-même.
Soit tu veux absolument trouver d'où vient l'erreur (la ligne rouge) et je te propose de me joindre directement par e-mail en me disant les tests à effectuer, en attendant que je change de PC. Je te posterai alors les rapports résultats sur le forum.

La balle est dans ton camp.
Que décides-tu ?

A bientôt
Zelaz
Title: Re: RK failed
Post by: Curson on April 16, 2015, 10:23:34 pm
Bonsoir zelas,

Ne t'inquiète pas pour les délais. Tu peux répondre quand tu le souhaites.

Quote from: zelas
Réponses à tes questions :
1) Temps de réponse liées à Mozilla :
Non, pas spécialement. C'est une idée que j'émettais, car j'avais eu des problèmes avec, l'an dernier, lorsque je l'avais installé (plein de virus).

2) Système instable :
C'est bien possible. Il me semble qu'il manque des programmes à Windows. De temps en temps, ça "saute". A partir de Google, par exemple, j'appelle une URL, l'image du site s'affiche, puis brusquement, l'image du bureau s'affiche une milli-seconde avant de réafficher le site. Ceci, de temps en temps, et pour n'importe quel site, de façon aléatoire. J'ai cité Google comme exemple, mais ce n'est pas le seul endroit où cela se produit.
Il est difficile pour moi de déterminer la source du problème mais un problème logiciel pourrait bien en être la cause.

Quote from: zelas
3) Saturation de la mémoire RAM :
Cela voudrait peut-être dire que je dois l'augmenter.
Avant de conclure cela, il est nécessaire de voir si il y a réellement saturation lorsque les problèmes se produisent.

Quote from: zelas
4) Temps de réponse :
Je ne pense pas que les temps de réponse (que je lie, peut-être à tort, aux performances) soient dûs à Mozilla. Je n'utilise pas les autres navigateurs (IE ou Chrome).
Peux-tu installer et tester Comodo Dragon (https://www.comodo.com/home/browsers-toolbars/browser.php) ?

Quote from: zelas
5) Bloqueur de publicité :
Je n'ai pas de bloqueur de publicité installé.
L'installation d'Ablock Plus (https://addons.mozilla.org/fr/firefox/addon/adblock-plus/) et l'abonnement aux listes EasyList et ListeFR arrange-t-elle les choses ?

Quote from: zelas
1) Comme tu as pu le voir, j'aime bien savoir ce que font les choses. Un peu touche-à-tout, (avec circonspection quand même), déclenchant involontairement quelques catastrophes (exemple : cliquer sur la Remise à niveau du fichier Hosts avec RK).
C'est en posant des questions que l'on apprend.  :)

Quote from: zelas
A la réflexion, je pense de plus en plus à ce que je disais dans le message précédent :
Changer de PC (il y a peut-être des problèmes disques, instabilité du système, tu me disais...). Acheter la version 8 de Windows. Cela va prendre quelques temps (je n'en ai pas en ce moment, et il va falloir en prendre quand même) car je dois préparer les sauvegardes pour tout réinstaller ensuite, réinstaller WampServer, etc...
Si c'est uniquement la partie logicielle qui est en cause, pourquoi changer de machine ?
Je te conseillerai tout de même de faire un diagnostique matériel.

Quote from: zelas
Je te propose la chose suivante :
Soit on laisse tout tomber, je change le PC, donc le problème disparaît de lui-même.
Soit tu veux absolument trouver d'où vient l'erreur (la ligne rouge) et je te propose de me joindre directement par e-mail en me disant les tests à effectuer, en attendant que je change de PC. Je te posterai alors les rapports résultats sur le forum.

La balle est dans ton camp.
Que décides-tu ?
Les rapports TDSSKiller et RogueKiller n'apportent rien de nouveau. Il serait pourtant intéressant de déterminer pourquoi RK détecte un processus à priori légitime.
J'attends l'avis de Tigzy pour savoir si, de son point de vue, il est intéressant de poursuivre les investigations.

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on April 17, 2015, 04:22:25 pm
Bonjour Curson,

Excuse -moi, hier, j'étais un tantinet déprimé...
Je ne m'en sors pas de cette histoire...
A cette heure (16h21) je dois absolument partir pour le week-end et ne peux pas effectuer les tests que tu me demandes.
Alors, à la semaine prochaine.

A bientôt.
Title: Re: RK failed
Post by: Curson on April 21, 2015, 10:40:08 pm
Bonsoir zelaz,

Ne t'inquiète pas, on trouvera une solution. :)
Une nouvelle version de RogueKiller est sortie il y a peu. Peux-tu refaire un test avec cette dernière ?

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on April 23, 2015, 04:48:10 pm
Bonjour Curson,

1) Tu dis qu'un problème logiciel pourrait être à l'origine. Seulement voilà : lequel et où?

2) Saturation : Lorsque cela se produit, il y a utilisation de 100% de l'UC par Firefox. D'où mon idée que cela pourrait venir de Firefox.
En ce qui concerne Firefox, je l'ai désinstallé et réinstallé sans aucun changement.
Je n'utilise que 37% de l'espace disque, donc de ce côté, pas de problème de saturation.
Mais cela serait peut-être plus vicieux que cela :
a) j'ai remarqué que, juste après un CCleaner, si je veux faire une sauvegarde d'un fichier ou d'une photo dans un dossier, il me propose immédiatement la sauvegarde dans le dossier System32 de Windows.
b) généralement je sauvegarde mes documents dans des dossiers inclus dans "Mes documents". Or lorsque je veux sauvegarder un fichier ou une photo et que je passe par le dossier général "Mes documents", s'affichent alors des dossiers que je n'ai jamais créés. 4 dossiers, en fait : codeTurbine, iWin, sun et Orange.

(Modif à 17:00 : J'ai réussi à voir ce que contenait ces dossiers. A part Orange, il s'agit de sauvegarde de jeux. Je les supprime. Pour Orange, il s'agit du "Mail Notifier".)
 
Orange me fait-il un coup de Jarnac ou s'agit-il de résidus de nettoyage que j'ai effectué sur Orange ?
J'ai essayé d'aller voir de plus près ces dossiers par "Exécuter", puis les commandes Dos cd et dir, mais ces dossiers sont inconnus et ne se trouvent pas dans "Mes documents" (ou "Documents" en Dos). Si je clique à partir de Windows sur "Mes documents", ils ne s'affichent pas non plus. J'ai modifié "affichage des dossiers cachés", mais toujours rien.
Ils ne s'affichent que dans le cas de la fenêtre de désignation du dossier où sauvegarder un fichier ou une photo. Mystère... mystère...

3) J'ai installé et testé le navigateur Comodo Dragon. Ce navigateur est, semble-t-il, déjà équipé de Adblock Plus, qui écarte les pubs.
Je reçois tous les jours les Newsletters des journaux. Adblock Plus n'a pas seulement fait disparaître les pubs, mais a fait carrément disparaître quelques vidéos. Ce qui ne me gêne pas vraiment, ne m'intéressant que très peu aux vidéos.
Mais cela n'a rien changé à propos des temps de réponse.

4) Pas encore fait l'abonnement à EasyListe et ListeFR. A voir.

5) J'utilise fréquemment l'affichage d'un dossier "par Liste". J'ai remarqué qu'après un CCleaner, l'affichage de certains dossiers se remet automatiquement sur "par Détail". C'est peut-être normal. Je n'y avais pas fait attention auparavant.

6) Cas curieux, l'autre jour. J'essayais de sauvegarder des photos dans un dossier. J'ai cliqué sur le dossier, j'en ai sauvegardé plusieurs et tout à coup, au moment même où je venais de faire Ctl+V pour copier la photo, je l'ai vue s'inscrire dans le dossier et tout a été déconnecté, Mozilla s'est fermé et je me suis retrouvé sur le Bureau. Je me perds en conjectures...
En rouvrant le dossier, la dernière photo était là. Je n'ai rien perdu.

7) Renvoyé la dernière version de RK (voir le rapport envoyé en parallèle de l'analyse).
Un tout petit changement. Avant la fin du Préscan, la ligne d'erreur s'est affichée sur toute la longueur de l'écran d'affichage de RK, mais sans la mention du chemin d'accès (à blanc). A la toute fin du Préscan, la ligne s'est réaffichée sur la moitié de la ligne, sans mention du chemin d'accès avec le libellé "Chemin d'accès" tronqué. (Auparavant, c'est ainsi que l'erreur s'affichait : sur la moitié de la ligne).

En espérant que toutes ces infos t'aident.
A bientôt.
Title: Re: RK failed
Post by: Tigzy on April 23, 2015, 05:05:34 pm
@Curson
Reçu:
Title: Re: RK failed
Post by: Curson on April 23, 2015, 09:39:04 pm
@Tigzy
Merci bien. :)

Bonsoir zelaz,

Merci pour les informations. A priori, la lenteur est causée par une activité intense du CPU.
Nous allons essayer de récupérer le processus détecté par RogueKiller. Merci de suivre les instructions ci-dessous à la lettre; n'hésite pas à demander plus d'informations si quelque chose n'est pas clair.

1) Télécharge ProcDump (https://download.sysinternals.com/files/Procdump.zip) et extrait l'outil procdump.exe sur ton bureau.
2) Rends-toi dans le menu "Windows" >> "Exécuter". Copie/colle la commande suivante :
Quote
"C:\Program Files\RogueKiller\RogueKiller.exe" -nokill

3) Une fois le prescan terminé, rends-toi dans la section "Processus" ; une ligne signalant la détection sera présente.
    Note la valeur numérique située dans la colonne "Id" correspondant au processus détecté et ferme RogueKiller.
    ATTENTION : ne pas lancer de scan !

4) Lance une "Invite de commandes" en tant qu'administrateur et copie/colle la commande ci-dessous en remplaçant "id" par la valeur numérique déterminée précédemment :
Quote
"%USERPROFILE%\Desktop\procdump.exe" -ma id svchost.dmp

5) Si tout s'est bien passé, un fichier svchost.dmp est maintenant présent sur ton bureau.
    Upload-le sur Google Drive/Dropbox et poste le lien dans ta prochaine réponse.

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on April 25, 2015, 03:40:34 pm
Bonjour Curson,

Je comprends vite, mais il faut m'expliquer longtemps...
Car... Rien de probant.

Voici ce que j'ai fait. Où est le problème ?

1) J'ai téléchargé Procdump (Dossier "Téléchargements").
2) J'ai extrait les fichiers de "Téléchargements" vers "Bureau" (Desktop).
3) J'ai rechargé la nouvelle version de RK en décochant "Launch RK" sur le dernier écran (pour ne pas le lancer).
4) J'ai exécuté "Exécuter" de Windows.
5) J'ai entré la commande "cmd" afin d'obtenir l'écran DOS à fond noir.
6) Par défaut, affichage de c:/users/utilisateur/
7) Par cd.. et cd, j'ai obtenu c:/program files/roguekiller/
8) J'ai tapé "roguekiller.exe" -nokill à la suite (et non comme tu me le disais "cd/program files/roguekiller/roguekiller.exe" -nokill) car le " ne peut pas être placé DEVANT.
9) Comme la fois précédente, la ligne rouge en erreur s'affiche sur toute la ligne au moment du préscan du service svchost, puis sur la moitié de la ligne (avec décalage des entêtes "Statut, "Id", etc...) à la fin du Préscan.
Je ne sais si ce décalage est normal. Je t'informe seulement de ce qui se passe.
L'Id mentionné a été 5480.
10) J'ai arrêté RK (mais j'ai laissé l'écran noir du DOS actif).
11) J'ai fait Clic droit sur l'icône de RK du bureau et j'ai modifié la cible par "%USERPROFILE%\Desktop\procdump.exe" -ma 5480 svchost.dmp
12) J'ai appuyé sur "OK".
13) Un écran s'est affiché avec le message "Vous devez avoir les droits d'administrateur pour effectuer cette opération".
14) L'icône de RK a été modifiée. Elle est devenue rectangulaire avec un carré bleu à gauche.
15) Comme je sais que la cible modifiée reste modifiée (et après vérification que c'était bien le cas), j'ai fait de nouveau Clic droit  sur la nouvelle icône et j'ai lancé RK en tant qu'administrateur.
16) Un écran s'affiche demandant l'autorisation de lancer Procdump (propriétaire Microsoft).
17) Après acceptation, affichage d'un contrat de licence.
18) Acceptation du contrat de licence ("I agree").
19) Terminé quasiment immédiatement, mais pas de document svchost.dmp sur le bureau.
20) Sur le bureau, le document "Eula", termes juridiques d'utilisation de Procdump.

J'ai relancé toute la procédure, en tapant cette fois "Appliquer" sur la modification de la cible de RK, mais cela n'a rien changé.

Voilà. J'attends tes instructions.
A bientôt.
Title: Re: RK failed
Post by: zelaz on April 25, 2015, 04:09:30 pm
(... Suite du message précédent)

Suite à l'insuccès de la procédure, j'ai fait une recherche de "svchost" sur c:/ et j'obtiens ceci, fort curieux :
Existence de svchost.exe dans c:/Program Files/Malwarebytes Anti-Malware/Chameleon/Windows.
C'est peut-être tout à fait normal...

Title: Re: RK failed
Post by: Curson on April 26, 2015, 05:33:53 pm
Bonjour Zelas,

Tu as fait une erreur au niveau de la procédure :
Quote from: zelas
11) J'ai fait Clic droit sur l'icône de RK du bureau et j'ai modifié la cible par "%USERPROFILE%\Desktop\procdump.exe" -ma 5480 svchost.dmp
Cette commande est à entrer dans "l'écran DOS à fond noir".  ;)

Peux-tu reprendre la procédure depuis le début (l'id du processus pouvant changer) ?
On vas y arriver !  :)

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on April 28, 2015, 03:04:30 pm
Bonjour Curson,

Désolé, je ne comprends pas. Après avoir fermé RK, j'ai l'écran noir de DOS avec c:/Program Files/Roguekiller/
Que veux-tu dire par "lancer une invite de commandes" en tant qu'administrateur ? A quelle manip cela correspond ?

A bientôt.
Title: Re: RK failed
Post by: Curson on April 29, 2015, 12:41:38 am
Bonsoir zelas,

Voici la procédure pour accéder à l'invite de commande de commandes en tant qu'administrateur :

Quote
    Appuyez sur la touche Windows de votre clavier, ou cliquez sur Démarrer pour faire apparaître le menu de démarrage.
    Cliquez sur "tous les programmes"
    Allez dans le dossier "accessoires"
    Cliquez droit sur "invite de commandes" et cliquez sur "Exécuter en tant qu'administrateur"

Après, il ne te reste qu'à simplement copier/coller la ligne de code qui permettra le dump de svchost.exe. Il ne t'est pas nécessaire de parcourir les repértoires avec la commande cd.

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on May 02, 2015, 11:20:43 am
Bonjour Curson,

Merci de l'information sur "Invite de commandes".
J'ai relancé la procédure et cela a planté...

Ci-joint l'image écran obtenu.

A bientôt.
Title: Re: RK failed
Post by: Curson on May 05, 2015, 07:01:11 pm
Bonsoir zelaz,

Ceci est vraiment étrange.
Peux-tu me confirmer que tu utilises bien une version standard de Windows ?

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on May 06, 2015, 11:03:24 am
Bonjour Curson,

Ci-joint 2 états obtenus :
- 1. par winver
- 2. par msinfo32

A bientôt
Title: Re: RK failed
Post by: Curson on May 06, 2015, 09:12:32 pm
Bonsoir zelaz,

Il s'agit d'une erreur peu commune. Aussi, je dois faire de plus amples recherches.
Merci de ta patience.

Meilleures salutations.
Title: Re: RK failed
Post by: Curson on May 11, 2015, 12:45:28 pm
Bonjour Zelas,

Nous allons essayer autre chose.
Merci de recommencer la partie de la procédure permettant de déterminer le PID du processus.
Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on May 11, 2015, 06:28:48 pm
Bonjour Curson,

Je te l'ai dit précédemment, je ne suis pas très fort en "hardware". Il y a donc des éléments supplémentaires que tu dois me fournir...

Voici ce que j'ai fait :
1) Exécution de RK par le biais de la commande "Exécuter" (cmd), me placer sur le répertoire c:\Program File\Roguekiller, exécuter
"roguekiller.exe" -nokill
2) En fin de Préscan, relever le PID de la ligne en erreur (qui vaut 5360).
3) Sortir de RK.
4) Charger procexp sur le Bureau.
5) Clic droit sur l'icône et exécuter Procexp en tant qu'administrateur.
6) Ecran de licence Microsoft à accepter.
7) Cliquer sur l'onglet PID pour trier par PID.
8) Repérer la ligne où le PID = 5360...

et cette ligne N'EXISTE PAS.

Surprenant, non ?

Même si j'avais trouvé la ligne, j'aurais été bloqué :
a) Je sais comment utiliser WinRar pour décompresser, mais pas pour compresser.
Peux-tu me donner des infos pour celà ?
b) Je subodore que tu veux que je mette les résultats du dump sur un site (Google Drive/Dropbox) mais je ne connais pas les manips.
Peux-tu me donner des infos pour celà, également ?

La liste proposée par Procexp donne des lignes blanches, roses et bleues.
En recherchant la ligne où PID = 5360 et après ne pas l'avoir trouvée, j'ai utilisé l'ascenseur pour revenir au début de la liste et, très rapidement, est apparue une ligne rouge. Elle a disparu rapidement, car l'écran se met à jour rapidement, et je n'ai pas eu le temps de lire la ligne. En bougeant l'écran de la première page à la seconde page et en revenant, une ligne rouge apparaît de temps en temps, impossible à lire car c'est très rapide.

Alors j'ai recommencé plusieurs fois l'appel de Procexp, en tant qu'administrateur et j'ai fait une impression-écran dès qu'une ligne rouge est apparue. Je t'envoie cette impression écran, ci-joint (en 2 parties, car la liste porte sur deux écrans).

En l'analysant, tu trouveras peut-être ce qui cloche.

A bientôt.

Modification à 18:45 :
J'ai relancé la procédure. Après le préscan, je n'ai pas coupé RK. Sur le bureau, j'ai lancé Procexp à la recherche de PID = 3540 (toujours pas trouvé), deux lignes rouges se sont manifestées (trop rapides pour les lire) et une ligne grise supplémentaire (voir ci-joint Procexp_3).
Title: Re: RK failed
Post by: Curson on May 11, 2015, 11:32:58 pm
Bonsoir zelas,

Les lignes rouges sont des processus en cours de fermeture, rien d'anormal à ça.
En revanche, les captures ne montre en effet aucun processus correspondant au PID détecté par RogueKiller, et je ne sais vraiment pas quoi penser de cela.

Merci de ta patience.
Meilleures salutations.
Title: RK failed
Post by: zelaz on May 15, 2015, 03:30:33 pm
Bonjour Curson,

Cela s'est encore dégradé depuis quelques temps.
Voici mes constatations et mes suppositions :

1) Après avoir installé WampServer 2.4, j'avais constaté que les images ne s'affichaient plus correctement. Elles étaient bien présentes à la bonne adresse, mais quand j'appelais un programme, les photos de la bannière s'affichaient aléatoirement, de temps en temps, quand cela plaisait au programme de le faire.
Je n'y ai pas attaché plus d'importance que cela, tant que cela marchait sur le site, cela ne me gênait pas.
Depuis, j'ai installé WampServer 2.5 et le problème persiste. Il semble que cela n'ait aucun rapport avec WampServer.
Je m'étonne quand même de la taille importante de mysqld.exe indiquée par la procédure ProcExp que tu m'avais indiquée (Voir les Print écrans de mon précédent message). Mais cela est peut-être normal.

2) J'utilise le logiciel Paint.net.
Je me suis aperçu que certains programmes et dll de Paint sont en bleu (le nom des objets n'est pas noir, mais bleu).
J'avais auparavant Windows XP et j'ai eu également ce cas de figure : certains de mes programmes avaient changé leur nom en  bleu, certains non.
Parallèlement, j'avais des problèmes de temps de réponse. A cette époque (fin 2013), j'ai demandé l'installation de Windows 7, ce qui a résolu ce problème.
J'ai essayé de détruire Paint.net et de le recharger, mais il contient des objets bleus.
Le bleu est-il la marque d'un virus ? Si oui, le logiciel Paint.net serait infecté.

3) Hier, il y a eu une mise à jour Windows. Un écran s'est affiché, m'indiquant que la Version de Windows n'a pas été validée car Microsft Security Essentials n'est pas authentique (voir Print "Microsoft_Security" ci_joint).
Or la version est tout à fait règlementaire, acquise auprès de l'installateur.

4)  Avec WampServer et par l'intermédiaire de Firefox, j'ai affiché des programmes que j'étais en train de modifier.
J'ai cliqué sur "Nouvel onglet", qui affiche normalement l'écran de Google. Aujourd'hui, plusieurs fois de suite, l'écran a affiché :
"Adresse introuvable". L'adresse était "https://google.fr" et elle était introuvable ! Sur un autre écran du réseau, l'écran de Google s'est affiché de suite. Ce n'était pas une connexion Internet défectueuse. De retour à mon écran, même chose : "Adresse introuvable".
J'ai eu beau couper Firefox et le relancer, rien à faire.
5 minutes plus tard, c'est "revenu"et j'ai pu avoir la connexion.

5) J'ai profité du déjeuner pour télécharger un dossier d'un site que je connais bien (pas de problèmes de ce côté). La taille était de 257 Mo. Quand je suis revenu, 1 heure après, il n'en avait chargé que 190 Mo.
J'ai tout coupé, relancé un nettoyage (CCleaner et RogueKiller).
J'ai toujours le processus en erreur, mais, dans la colonne "Registre", j'ai un "Orphan" et un "PUM".
Ci-joints, des Print Ecrans.
L'ascenseur horizontal de l'onglet "Registre" détermine 3 prints écran "RK_20150515_1417a", "RK_20150515_1417b" et "RK_20150515_1417c". Lorsque j'essayais de le déplacer, le curseur s'est bloqué, comme s'il était actif (curseur rond et qui tourne).
Le programme RK affiche alors "Ne répond plus" et affiche un écran blanchâtre (Voir Print Ecran ci-joint). Il faut attendre quelques instants pour que cela se débloque et que je puisse continuer le traitement.
Après Suppression, j'ai "Orphan" supprimé et "PUM" remplacé.

6) Si je laisse l'ordinateur en veille environ 1/4 d'heure, il démarre tout seul (le déclic correspondant au "test DVD", présence ou non d'un DVD, se déclenche).
La lumière orange montrant l'activité de l'ordinateur s'active. Si j'affiche le gestionnaire de tâches,  la performance est au maximum et retombe très vite, lorsque j'interviens. Le processus actif est alors Firefox. Est-ce normal et à quoi cela peut-il consister ? C'est cela qui m'a incité à "soupçonner" Firefox.

En espérant que ces remarques puissent t'éclairer.
A bientôt.


Title: Re: RK failed
Post by: Curson on May 15, 2015, 04:24:09 pm
Bonjour zelas,

Tout cela n'est vraiment pas bon signe.

Quote from: zelas
Or la version est tout à fait règlementaire, acquise auprès de l'installateur.
L'installation a-t-elle été effectuée par un revendeur agréé ?
Au vu du message d'erreur présent dans la 1ère capture, je commence à me demander si ta version de Windows est 100% authentique.

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on May 18, 2015, 08:47:43 am
Bonjour Curson,

Je ne sais si l'installateur est agréé ou non, mais je n'avais aucune raison de me méfier.

L'historique est simple. J'ai acheté mon PC en 2009 dans une boutique d'un groupe connu. En 2013, j'y suis retourné pour
changer Windows XP en Windows 7. La boutique avait fermé, mais le gérant, que j'avais rencontré en 2009, avait créé sa propre
boutique juste à côté.

Au vu des récents évènements et de tes doutes, je ne sais plus. Je n'ai aucune preuve à présenter si je le soupçonnais de
malveillance.

De toutes façons, il est certain que je vais passer à Windows 8.

Reste le matériel. Tu m'as suggéré auparavant un problème logiciel, mais également un problème disque (saturation de la CPU).
Tu m'as suggéré également un diagnostique disque. Puis-je le faire moi-même ? (Y a-t-il un logiciel pour faire cela ?).

En tous cas, le temps de préparer les sauvegardes et je change tout.

A bientôt.
Title: Re: RK failed
Post by: Curson on May 19, 2015, 12:56:46 pm
Bonsoir zelaz,

Effectivement, je pense qu'à ce point, une réinstallation complète du système est la meilleur chose à faire.

Quote from: zelas
De toutes façons, il est certain que je vais passer à Windows 8.
Si tu es préparé à attendre un peu, Windows 10 va sortir d'ici peu.

Pour te guider dans les tests de ton matériel, je ne peux que te recommander d'ouvrir un sujet dans un forum spécialisé dans le matériel.  ;)

Meilleures salutations.
Title: Re: RK failed
Post by: zelaz on June 15, 2015, 03:51:32 pm
Bonjour Curson,

Quelques nouvelles depuis... le 19 Mai, presque un mois :
- 1 version Premium
- 1 nouvelle version
- 1 spécialiste système
- 1 erreur en moins

a) Il y a environ 2 semaines, j'ai rechargé la dernière version de RK. La page de téléchargement avait changé. L'installation de RK se faisait auparavant à partir d'un simple bouton, mais ce jour-là, il y avait une flèche verte au-dessus du bouton de téléchargement. J'ai donc supposé que vous aviez modifié le téléchargement.
Mais lorsque j'ai lancé l'analyse de RK, la mention [PREMIUM] qui s'affichait en haut de l'écran, ne s'affiche plus. Que faut-il faire pour l'avoir de nouveau, et pourquoi a-t-elle disparu ? (Achetée le 24/03/2015 à 10h51).

b) J'ai également, ce jour-là, téléchargé  une nouvelle version de MalwareBytes. La succesion des opérations ne se faisait plus verticalement, mais horizontalement, avec des ronds verts qui affichent des flèches tournantes.
Cette version n'a détecté aucune anomalie.

c) Après quelques jours de recherche, j'ai contacté un spécialiste système qui doit intervenir demain.
En prévision de son passage, j'ai voulu faire du ménage. J'ai rechargé MalwareBytes et il m'a détecté un PUP. Je l'ai mis en quarantaine, sans savoir exactement ce qu'il signifiait. L'indication est vraiment faible (voir l'image écran ci-jointe). Cela peut peut-être t'aider si tu le souhaites.

d) Après MalwareBytes, j'ai téléchargé la version actuelle de RK (10.8.3.0). Le Préscan s'est passé correctement, affichant à la fin la fameuse ligne ROUGE (Erreur svchost.exe). Mais lorsque j'ai appuyé sur SCAN, cela a fait planté RK. Le bureau a remplacé l'image 1 à 2 secondes, puis l'image de RK s'est de nouveau réaffichée, pour finalement disparaître définitivement. J'ai relancé RK et MIRACLE, la ligne ROUGE (svchost.exe) a disparue... Comprenne qui pourra.
Si ça te parle, tant mieux, et tiens-moi au courant.

Malheureusement, cela n'a pas arrangé les temps de réponse, de plus en plus insupportables...

Après la visite du spécialiste, je te dirais ce qu'il en est.

A bientôt.
Zelaz.
Title: Re: RK failed
Post by: Curson on June 19, 2015, 11:21:05 am
Bonjour Zelas,

Entendu, merci.  :)

Meilleures salutations.