Virer un rootkit

Fermé
flipéparano - 8 juin 2009 à 15:36
 flipéparano - 17 juil. 2009 à 13:08
Bonjour,

je pense bien que j'ai chopé un bon vieux rootkit, mon ordi n'arrete pas de planter, genre écran bleu, et je crois que mon pécé a infesté un réseau... j'ai fait plusieurs anti virus: bitdefender, avg, spyware doctor, plus sophos et avg antirootkit, mais rien n'apprait, j'ai besoin de votre aide, je sombre dans une parano incroyable, mal au bide et tout et tout...
please help me!!!!

merci!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:23:06, on 08/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\AVG\AVG8\avgscanx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Pinpin\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aceradvantage.com/stdreg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
A voir également:

51 réponses

Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
9 juin 2009 à 03:46
Pour terminer la désinfection sous Windows:

________________________________________________________________________________________________________________________

Purge ta restauration de cette manière.


________________________________________________________________________________________________________________________



Télécharge toolscleaner sur ton Bureau:

* Clique droit sur ToolsCleaner2.exe puis sélectionne "Exécuter en tant qu'administrateur". Ensuite, laisse le bien travailler sans rien toucher.
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de ton disque dur (C:\) -->colle le dans ta réponse.


________________________________________________________________________________________________________________________





Tu peux garder Malwarebytes anti malware en tant qu’anti malware, il est très efficace.
Tu peux lancer un scan de temps en temps (tous les 2 mois), ou si tu sens un ralentissement de ton pc.
N'oublie pas de faire une mise à jour avant de lancer le scan.
tuto

*Concernant Ccleaner:
Je t'en ai parlé plus haut: c'est un très bon logiciel.
________________________________________________________________________________________________________________________


Quelques recommandations:

Utilise Firefox plutôt qu'Internet explorer pour surfer car il est plus sécurisé.
Conserve Internet explorer, il est utile pour faire les mises à jour Windows.

Tu peux y rajouter ces deux extensions afin de te garantir un surf sain et sans pubs:

Wot


Adblock est expliqué ici, tu peux t'arrêter à cet écran au niveau de la configuration, car l'abonnement français te sera proposé et c'est celui-là que tu sélectionneras.
Le terme français "abonnement" faisant souvent référence à une somme à payer de manière régulière, je préfère te rassurer en t'indiquant qu'il ne s'agit aucunement de ce genre d'abonnements. :)

Il faut savoir que liens publicitaires génèrent fréquemment des infections, de plus, tes pages web scalpées de leurs pubs, s'afficheront plus vite.


________________________________________________________________________________________________________________________




Concernant le téléchargement: Un homme averti en vaut toujours un, mais averti :)


Bonne nuit: Tu peux effectuer tout ceci plus tard, je suis présent régulièrement.

@+
0
flipéparano
9 juin 2009 à 04:01
OK,
Merci beaucoup pour tous tes conseils et du temps que tu y as accordé...!!!
je pense que je vais arrêter pour ce soir les purgeages de toute sorte... pour le reste des recherches ca attendra demain!
il faudra voir ce que je peux garder ou jeter de tous les logiciels dl, parce que la j'en ai un paquet sur mon bureau maintenant...
bonne nuit, et merci encore, vraiment !!
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
9 juin 2009 à 04:10
il faudra voir ce que je peux garder ou jeter de tous les logiciels dl

Tools cleaner s'en chargera et au pire je te conseillerai.

merci encore, vraiment !


C'est fait avec plaisir.

Repose-toi bien et à demain.

Tcho!
0
flipéparano
9 juin 2009 à 22:43
bien le bonsoir!!!

me voila de nouveau pour de nouvelles aventures...

voila tout d'abord un peu de lecture, tout a l'air d'ans l'ordre niveau supression des dossiers téléchargés.
j'ai l'impression que le pc rame tjrs un peu au démarrage, par contre... mais ca devrait aller malgré tout !

[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\UsbFix.txt: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Pinpin\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Pinpin\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\Pinpin\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\Pinpin\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Pinpin\Bureau\Rsit.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\Pinpin\Bureau\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Pinpin\Bureau\hijackthis.log: supprimé !
C:\Documents and Settings\Pinpin\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Pinpin\Bureau\Rsit.exe: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\Pinpin\Menu Démarrer\Programmes\UsbFix: supprimé !


par contre j'ai un autre pc, acer aussi, acheté d'occaz il y a un mois parce que l'autre s'éteignait très souvent ( j'ai remarqué que c'était qqc de technique, genre quand je le mettais sur les genoux (il faut dire qu'il a beaucou voyagé...)
j'aimerais bien lui faire un petit check up, sachant qu'il avait un ou deux vers quand je l'ai eu, que je l'ai restauré pour écraser tous les fichiers qu'il contenait ( dont pas mal de logiciel crackés), mais, fidèle à ma parano, je ne lui fait pas top confiance : zone alarme à bloqué une tentative d'intrusion, genre dans le bios, mais qui était à moitié normale, puisque j'étais connectée sur un réseau, apparement...
donc a voir... je poste dans qq minutes un petit hijack pour commencer, ou peut être direct un rapport rsit
?
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
10 juin 2009 à 12:24
Hello,

Tu as bien purgé ta restauration?

genre quand je le mettais sur les genoux --> problème d'aération: tu peux lire ceci jusqu'au message #11.

Pour ton rapport en dessous, je regarderai cela plus tard.


@+
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234 > Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015
11 juin 2009 à 23:15
Hi,

T'en es où?

Toujours dans le coin?
Tu n'as pas testé un live-cd?
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234 > Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015
13 juin 2009 à 13:05
Ta restauration, c'est fait?
0
flipéparano > Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015
13 juin 2009 à 13:11
houps... il fallait que je restaure mon système ensuite???
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234 > flipéparano
13 juin 2009 à 13:15
Non!!!!

La Purge de la restauration.
0
flipéparano
9 juin 2009 à 23:02
Et voila :

Logfile of random's system information tool 1.06 (written by random/random)
Run by pinpin at 2009-06-09 22:59:12
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 15 GB (40%) free of 37 GB
Total RAM: 1022 MB (52% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:59:56, on 09/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\eManager\anbmServ.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Arcade\PCMService.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\pinpin\Bureau\RSIT.exe
C:\Program Files\trend micro\pinpin.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.acer.com/worldwide/selection.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
ekim55 Messages postés 85474 Date d'inscription mercredi 27 mai 2009 Statut Modérateur Dernière intervention 24 décembre 2024 14 352
12 juin 2009 à 00:35
Bonjour,
Ton PC rame au démarrage ? Je te suggère de diminuer le nombre de programmes qui se lancent au démarrage. Si moins de processus lancés, donc moins de ressources utilisées. Clique sur démarrer, exécuter et tape: msconfig et OK. Dans l'onglet démarrage, décoche les programmes qui sont inutiles au démarrage. L'essentiel au démarrage: pare-feu si tu en as un d'installé, l'antivirus, tout ce qui est de windows et connexion internet.
Bonne journée.
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
12 juin 2009 à 00:41
Comme tu dis Ekim, effectivement c'est une solution, tout comme celle possible via ccleaner ou celle qu'on a effectuée sur le premier pc.

Le tout étant de savoir faire le tri :)

Perso, j'attends des nouvelles de flipéparano, avant de lui faire exécuter quoi que ce soit.
0
ekim55 Messages postés 85474 Date d'inscription mercredi 27 mai 2009 Statut Modérateur Dernière intervention 24 décembre 2024 14 352
12 juin 2009 à 00:50
C'est une suggestion, Trying2 , alléger le démarrage. En passant, bon boulot fait pour le nettoyage des bestioles.
Salut.
@+
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
12 juin 2009 à 00:59
C'est une suggestion

...qui est très bonne; je me permettais juste de préciser 2 autres méthodes.

Et puisqu'on en parle, celle que je préfère est celle via Ccleaner (en "désactivant"): Elle ne nécessite pas de redémarrage, contrairement à MSconfig, et la restauration des paramètres (en "activant") est plus simple à mon sens que la sauvegarde d'hijack this.

HT apporte le confort de pouvoir tout lister sur un rapport et de se faire conseiller.

@+ et merci pour les compliments, ça fait toujours plaisir:)
0
ekim55 Messages postés 85474 Date d'inscription mercredi 27 mai 2009 Statut Modérateur Dernière intervention 24 décembre 2024 14 352
12 juin 2009 à 01:04
Je ne savais pas qu'avec CCleaner, ca nécessitait pas de redémarrage.
Merci de l'info.
Bonne soirée.
0
flipéparano
13 juin 2009 à 13:01
Bien le bonjour,

alors pour répondre aux questions :
le pc qui plantait, ce n'était pas du à des problèmes de surchauffe: je l'ai déjà ouvert et nettoyé le système de ventilation avec une bombe, il est clean et ne surchauffe pas des masses. Le problème que j'avais était donc ces fameux écrans bleu qui apparaissaient avec des messages du genre " kernel data base error 0X000000004" ect ou "thread crucial error" et hop, début du vidage de la mémoire physique. Le pc s'éteignait, mais impossible de le relancer : un écran noir et trois petites sonneries apparaissaient avant même que acer se lance ( et donc pas de windows non plus). Donc on sentait que le pc faisait tout ce qu'il pouvait pour se lancer, mais non, il restait bloqué sur les trois bip bip bip, un écran noir avec qq lignes d'écritures en blanc ( je sais plus ce qu'il y avait d'écrit) qui tournaient en boucle. face à ca, moi, je craque, et je fais des restaurations du système via le fameux alt + F10. Donc ledit pc a connu moult restaurations successives, genre bien une fois pas semaine. j'ai ensuite découvert que ces écrans arraivaient parfois lorsque je bougeais le pc, genre le mettre de la table basse sur mes genoux. Et le secouer lorsqu'il refusait de se relancer est apparu comme une alternative au reformatage... je sais c'est barbare, mais soignons le mal par le mal.
toujours est-il qu'un train peut en cacher un autre, et qu'un problème matériel peut aussi cacher un problème lié à de salles bébêtes bien logée au chaud (le pc s'éteignait parfois sans que je le bouge). Et je me demandait si y'avait pas une beÊete qui s'était du coup installée à chaque fois un peu mieux à chaque restauration du système, et qui serait maintenant completement invisibile....

deuxième chose, ces petits trojan que j'avais, j'ai pu les refiler à des potes via mon disque dur externe, non?? qu'est ce que je leur conseille?
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
13 juin 2009 à 18:04
il est clean et ne surchauffe pas des masses


Tu as pris sa température?



avec des messages du genre " kernel data base error 0X000000004" ect ou "thread crucial error
Garde ton APN à portée de main en attendant qu'il plante et prend une photo du bluescreen^^
Bref, si t'as les messages d'erreurs précis, c'est plus simple...

je sais c'est barbare
T'as bien fait. Tous les portables Acer que j'ai eu dans les mains ont rarement bien fini.
Je me souviens qu'une fois, après une maj du Bios, un coton tige pour plaquer le disque dur bien enclenché et une install d'Ubuntu, c'était correct...


qu'est ce que je leur conseille?


De passer ici :)


Tu as essayé de graver le Cd de ToutouLinux?
0
flipéparano > Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015
13 juin 2009 à 18:41
Tu as pris sa température?

=> non, mais juste au toucher, il fait pas trop de bruit, même moins que celui que j'ai acheté d'occaz par la suite
Et puis il pouvait planter au démarrage, à froid.



Maj de bios

=> quel terme barbare. Ca sonne comme les trompettes de la mort des chevaliers de l'apocalypse. et pourquoi plaquer un coton tige sur le disque dur?



Tu as essayé de graver le Cd de ToutouLinux?

tjrs pas essayé linux, j'ai pas accès à internet tt le temps... il faut un cd ou un dvd pour tester?
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234 > flipéparano
13 juin 2009 à 18:53
il faut un cd ou un dvd pour tester?

Juste un cd (ou un DVD) tu peux prendre du RW .
Le fichier (en.iso) à graver fait environ 100 Mo.

Maj de bios
C'est la mise à jour du BIOS. le terme exact est encore plus barbare (Flash du BIOS).
Sur la plupart des pc maintenant c'est plus très compliqué, ça peut se faire via un logiciel sous Windows, c'est dire...

Sinon, le coton tige (ou plutôt les bouts) c'était pour caler le DD afin qu'il soit bien enclenché, il avait pris du jeu et du coup avec un mauvais mouvement, j'avais le droit à un bluescreen.
0
flipéparano
13 juin 2009 à 13:03
ensuite, pour le purgeage, il s'agissait juste de désactiver et réactiver la restauration du système, c'est tout???
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
13 juin 2009 à 13:20
Exact.
0
flipéparano
13 juin 2009 à 13:22
ok, c'est fait...
0
flipéparano
13 juin 2009 à 13:47
et pour mon deuxième pc alors ? dans les programmes qui se lancent au démarrage, j'ai SOUNDMAN.EXE qui m'a l'air un peu suspicieux... pas de commande, situé dans HKLM/Software/microsoft/windows/currentversion/run
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
13 juin 2009 à 13:50
Non, tout est quasiment nickel sur ton pc, je te prépare un post.
0
ekim55 Messages postés 85474 Date d'inscription mercredi 27 mai 2009 Statut Modérateur Dernière intervention 24 décembre 2024 14 352
13 juin 2009 à 13:58
Ca rapport avec la carte de son , possiblement realtek, donc pas nécessaire au démarrage.
0
flipéparano
13 juin 2009 à 14:09
il parait qu'en informatique, rien n'et jamais sur à 100% :)

http://vil.nai.com/vil/content/v_101090.htm
0
ekim55 Messages postés 85474 Date d'inscription mercredi 27 mai 2009 Statut Modérateur Dernière intervention 24 décembre 2024 14 352
13 juin 2009 à 17:04
Pas sûr à 100 % ? De toute facon, enlève-le au démarrage, si ca ne revient pas, alors c'est OK.
Voir Pacman list pour consultation de tout ce qui se lance au démarrage, légitime ou non et processus hostile.
Lien: http://assiste.com.free.fr/p/pacman/pacman_startup_list.html
0
flipéparano
13 juin 2009 à 17:38
Bonjour ekim
tu peux être plus précis sur la façon d'utiliser pacman, stp??
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
13 juin 2009 à 17:57
Regarde à la lettre S, il y a deux "soundman", mais un seul en ".exe".
0
flipéparano
13 juin 2009 à 18:16
le fait que ce soit écrit en majuscule ne change rien?
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
13 juin 2009 à 18:19
T'as choisi ton pseudo naturellement ou c'est le surnom que te donnent tes amis?
:)))


Edit: Si tu n'as pas vu, il y a un message#62.
D'ailleurs, je ne vois pas l'intérêt de configurer qui plante toutes les semaines.
Il serait plutôt parfait pour l'utilisation d'une distribution en live.
0
flipéparano > Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015
13 juin 2009 à 18:56
D'ailleurs, je ne vois pas l'intérêt de configurer qui plante toutes les semaines.
Il serait plutôt parfait pour l'utilisation d'une distribution en live.


=> qué??????????????
0
flipéparano
13 juin 2009 à 18:28
:D
non, c'est un choix perso :) mais je suis lucide !!!!
mais quand il s'agit du ce monde obscur qu'est celui de l'informatique, je pars du principe que j'y connais rien, donc que plein de choses peuvent se dérouler sous mes yeux sans que je m'en rende compte! donc je nage dans le principe de précaution, c'est sur, mais il m'est arrivée plein de merdes informatiques ces derniers temps, donc soit j'ai le mauvais oeil, ce qui est possible, soit c'est un truc chelou caché qqp et qui transite via clé usb.
rien que la, il rame comme jamais mon pc, je comprends pas...
mais si vraiment tu crois que j'exagère dans mon flip, hésite pas à me le dire... !!
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
13 juin 2009 à 18:38
mais je suis lucide !

Lucide sur toi même, c'est certain :)

Que tu sois de nature angoissée, je te le concède volontiers.
En revanche ton premier pc était bien infecté, désolé mais le second, c'est un Acer qui a vécu, rien de plus.
0
flipéparano
13 juin 2009 à 18:48
aller, même pas un petit truc à virer?? juste pour l'aventure et le plaisir de la lutte ???

et bien infesté, ca veut dire "méchament" infesté ?

merci de ta patience!
0
flipéparano
13 juin 2009 à 19:00
Sinon, le coton tige (ou plutôt les bouts) c'était pour caler le DD afin qu'il soit bien enclenché, il avait pris du jeu et du coup avec un mauvais mouvement, j'avais le droit à un bluescreen.

=> je vais me mettre au coton tige alors.
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
13 juin 2009 à 19:12
Méchamment infecté?
Non, la preuve il n'y avait rien à voir dans ton Hijackthis (mon 1er message).

Si tu veux voir de très vilaines choses, ce topic est sympa.

juste pour l'aventure et le plaisir de la lutte ?

Juste pour le plaisir de la lutte, on se recontacte demain (si ton Acer n'a pas planté :) Tu as un service d'origine infectieuse qui est désactivé, stoppé donc inactif, mais on le virera pour le plaisir...

Bye, je file.
0
flipéparano
13 juin 2009 à 19:28
ok!
merci! :)
a demain
0
ekim55 Messages postés 85474 Date d'inscription mercredi 27 mai 2009 Statut Modérateur Dernière intervention 24 décembre 2024 14 352
13 juin 2009 à 22:20
Tu dois réduire les programmes au démarrage, comme déjà expliqué, pare-feu, antivirus, tout sur windows et connexion internet. Lignes O4 - HKLM\..\Run: beaucoup trop !!!
Bonne soirée.
0
flipéparano
14 juin 2009 à 14:40
ok, c'est fait... ca rebooste pas plus que ca le pc au démarrage malgré tout...
0
flipéparano
14 juin 2009 à 22:26
des news...

alors j'ai trouvé des séries de chiffres pour l'ancien pc qui me fesait des blue screen de la mort :
0x000000FF ( pas trop sur des FF pour celui la... FA, peut-etre? j'écris mal...)
0X0000003
0X8966DDAO
0X8966DF14
0X905D1204 ( je suis pas très sure pour le 90 pour celui la)

j'ai retrouvé ces numéros sur un bout de papier, un jour ou j'ai eu un fameux blue screen et ou j'ai eu ce bon réflexe de noter les chiffres... étant donné que je bosse sur le nouveau pc maintenant, j'ai plus d'apparition de bleu screen... mais je veille au grain :)

j'attends des nouvelles!
A bientot
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
14 juin 2009 à 23:05
Désolé, je passe en coup de vent: Dimanche soir pépère^^

Mais je suis régulièrement présent ici donc @+
0