hijack et silent runner Résolu

Question

bonsoir tout le monde
j'ai fait un hijack et un silent runner par sécurité car mon pc se comporte bizaremment(plantages, déconnexions, travail hors présence, etc...)
quelqu'un peut il me renseigner

merci d'avance
Logfile of HijackThis v1.99.1
Scan saved at 13:02:51, on 21/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\PopTray\PopTray.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108670157028
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17237B01-F550-41DA-8D49-1AECC958D548}: NameServer = 217.19.192.131 217.19.192.132
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

silent runner

"Silent Runners.vbs", revision 35, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"KAVPersonal50" = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize" ["Kaspersky Labs"]
"NWEReboot" = (no data)

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Ahead\InCD\incdshx.dll" ["Ahead Software AG"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{EBDF1F20-C829-11D1-8233-FF20AF3E97A9}" = "TrojanHunter Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1.2\contmenu.dll" [null data]
"{B28C18DB-6816-4F31-9630-397683E3C2C3}" = "Filzip Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Filzip\fzshext.dll" [empty string]
"{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]
"{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]

Enabled Wallpaper and Active Desktop:
-------------------------------------

Active Desktop is disabled.

Afficher la suite

balltrap34 · Answer

salut
fait ceci
telecharge ceci
http://www.downloads.subratam.org/l2mfix.exe
decompresse le double clik dessus appuie sur n importe quelle touche et ensuite choisi l option 1
attend il vas faire un rapport fait un copier coller de celui ci
ne fait surtout rien d autres

franck1nimes · Answer

j'ai essayé en vitesse
kaspersky me signale un trojan dans temp et dans c
et lme conseille de les suppprimer
j'ai fait ca
par contre le lien ne fonctionne plus en pa'rtie (la fin correspondant au fichier !!!!

franck1nimes · Answer

ca ne trouve plus l2mfix.exe

moe · Answer

salut franckessaye ici:http://www.atribune.org/downloads/l2mfix.exec'est bizarre le lien de balltrap marche pour moi.a+

franck1nimes · Answer

idem

ca me détecte un trojan a deux emplacements
c:\...\temp 3X1gne8x.exe et
c:\...\cache.35897d89d01

ensuite le message

c:\ nonm du cichier a télépharger) n'a pu être enregistré car vous ne pouvez changerle contenu de ce répertoire
changez les propriétés de ce répertoire ou essayez d'enregistrer ailleurs

bizarre - ce répertoire je l'ai intitulé programmes installatiçn e d'habitude iil fonctionne sans pb
lorsque je clique sur le lien de balltrap ou le tien maintenantn aucun des deux ne trouve le fichier ???

franck1nimes · Answer

pour balltrap et moeprécisionca a réagi exactement pareil sur les deux liens au moment de télécharger, alerte de kaspersky

franck1nimes · Answer

re-re- salut

excusez moi de vous e.......er encore mais pas possible de télécharger oumême d'accéder a ce fichier, même par recherche google
en plus, j'ai remarqué que même quand je me pointe au pc et qu'il n'y a personne, il "bosse" tout seul et ca me plait pas trop !

une suggestion ???

merci d'avance

jean38 · Answer

une idée peut être bette mais as tu essayé de déconnecter temporairement ton anti virus pour telecharger le programme que balltrap t'indique?jean

moe · Answer

salut

Sur le hijack, rien n'apparait
Tu avais fixé des lignes avant de poster?

Fais un scan ici:
http://www.ravantivirus.com/scan/
Clic sur "To continue without subscribing click here"
Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
ou ici:
http://housecall.trendmicro.com

a+

franck1nimes · Answer

excuse moe mais j'y pompe riensur le premier lien ca ne scanne qu'un fichier a la foissur le second j'y comprend rien

franck1nimes · Answer

et sur le silent runner, rien ??

jean38 · Answer

de toute façon sur un programme que ball trap ou moe t'indique ta pas de trouille à avoir, c'est du beton moi dans ta situation je tenterai de deconnecter kaperskiJeanBonsoir moe

moe · Answer

salut franck, jean

Internet explorer est obligatoire pour le scan entier du pc chez rav.
Si tu surfe avec firefox ou mozilla c'est pas la peine.
Pour silent runner, apparament rien de concluant (avis perso) et je crois que balltrap doit etre du meme, sinon il ne t'aurait pas fais telecharger lm2fix.

Fais ton scan avec IE

a+

moe · Answer

au fait, kasperski te donne quel nom pour le trojan ?Toujours le meme ?

franck1nimes · Answer

merci moesous IE ca collec parti je te tiens au courantpour les liens le tien et celui de balltrap ca marche toujours pas

franck1nimes · Answer

merci moesous IE ca collec parti je te tiens au courantpour les liens le tien et celui de balltrap ca marche toujours pas

franck1nimes · Answer

re bonsoir a  balltrappour cleanUp, comment le configurer avant de le lancerje voudrais pas faire de bourdes et comme mon anglais n'est plus trés récent!merci

franck1nimes · Answer

pour moe et balltrap et jeanle scan est de rav est toujours en coursc déjà pas mal mais ca me gonfle de ne pas arriver a télécharger l'autre programme y doit y avoir un bug anormal

franck1nimes · Answer

pour moe et balltrap et jeanle scan est de rav est toujours en coursc déjà pas mal mais ca me gonfle de ne pas arriver a télécharger l'autre programme y doit y avoir un bug anormal

jean38 · Answer

laisse tourner le scan dejà et puis on verraJean

moe · Answer

je crois que ca vient de kaspersky, desactive le juste le temps de le telecharger.si ca marche:hors connection:Double clic sur l2mfix.exe pour lancer l'installation.Ferme tous les programmes en cours (navigateur, players etc...)double clic sur l2mfix.bat et choisis l'option #1 (et pas autre chose) et valide avec la touche entrée.1 ou 2 minute après le bloc note va s'ouvrir avec le resultat du scan.Fais un copier coller du résultat.Réactive kaspersky et poste le resultat ici.Pour le l'analyse du résultat, faudra peut etre attendre que balltrap soit dans les parages, car je connais pas bien ce prog.a+

franck1nimes · Answer

dis moi je viens d'avoir un malheureux doute!est ce qu'avant de lancer le scan il aurait pas fallu désactiver la restauration et changer l'affichage des dossiers (j'ai vu sur d'autres questions que tu le conseilles souuvent ???si c le cas il faut tout recommencer

jean38 · Answer

Ball trap me semble avoir anticipé le WE c'est cool.Jean

franck1nimes · Answer

merci moe j'attends pour ce p....n de scan et j'essaie le restej'ai un sempron 2400 de base alors tu m'as compris pour la vitesse, le pc est comme le proprio....limité !!

moe · Answer

pour faire juste un scan, pas besoin de desactiver la restau systeme.Là, on veut juste savoir s'il y a un virus sur ton pc.Par contre si ton AV detecte un virus et ne peut pas le virer, il faut mieux le desactiver et relancer l'av, qui bien souvent le supprimera.En gros pour un scan de verif pas besoin de desactiver et si le scan est positif mais que l'av ne peut pas supprimer, là il faut la desactivée et relancer l'av.Pour les fichiers cachés, c'est pas grave, surtout utile quand tu dois supprimer les fichiers infectés à la main.a+

franck1nimes · Answer

g désactiv KAV est pareilsur les deux liens ne trouve pas (plus) le fichier j'essaierai au prochain redémarrage ????

franck1nimes · Answer

reci joint copie résultat du scan de rav RAV AntiVirus - Online Virus Scan   Autoclean   Inside Archives   Unpack executables   Smart Scan    Status  Scan started at 22/04/2005 21:24:19 Scanning memory...Scanning boot sectors...Scanning files...Scanned============================	Objects: 33315	Directories: 2903	Archives: 1326	Size(Kb): 875194	Infected files: 0Found============================	Viruses found: 0	Suspicious files: 0	Disinfected files: 0	Mail files: 234        RAV Engine: 8.11 Virus Signatures: 120994 Last Update: Sunday, April 17, 2005 23:05:15 pour les liens, toujours pareil, que dallepour cleanup, tu as un tuyau pour savoir comment configurer avant de lancer ???

moe · Answer

je crois qu'il faut aller dans les options et mettre sur standard cleanuplà, tu peux tout cocher sauf les 2 dernieres et tu valide avec ok.j'ai pas reussi à trouver un tuto en francais, mais seulement en anglais:http://www.bleepingcomputer.com/forums/tutorial93.htmlPour les liens tu as essayé apres avoir redemarré et desactivé kasp ?

franck1nimes · Answer

merci pour clenup si tu es sur du coup je vais essayer mais je voudrais pas virer n'importe quoi.pour kasp tu as raison j'ai redamarré, désactivé, téléchargé et réactivé c bonje vais lancer l"application et je te fais signemerci encore

franck1nimes · Answer

loupékasp me l'a viré !!!objet infecté.

franck1nimes · Answer

je suis vraiment hyper niaisj'ai encore pas noté le nom du virus ou trojan !!!

franck1nimes · Answer

je suis vraiment hyper niaisj'ai encore pas noté le nom du virus ou trojan !!!

moe · Answer

reactive kav apres le scan de lm2fix

franck1nimes · Answer

te vexe surtoutpas mais t'es sûr du coup ?g téléchargé sur les deux sites et kasp me les a viré tous les deux !

moe · Answer

oui je m'en doutais un peu, mais kasp tique sur un fichier process.exe.Apparement beaucoups d'utilisateurs de kav ont eut ce probleme.Maintenant, tout ce que je peux dire c'est que les sites ou tu l'as telechargés sont ok et lm2fix est utilisé sur tout les forums les plus reputés virus/sécurité.mais bon si tu as un doute laisse tomber.On verra demain si balltrap a un prog de secours ;-)a+

moe · Answer

bah, faut pas t'excuser lolJe l'ai telechargé et fais analyser chez kav, et c'est vrai que j'ai été surpris du résultat.Mais apparement en cherchant un peu sur google, seul les utilisateurs de kav ont eut ce probleme.Peut etre qu'il est un peu trop tatillon sur certains fichiers..a demain

balltrap34 · Answer

saluta tous bon pour lm2fix desactive ton antivirus le temp de le telecharger ensuite deconnecte toi de suitela ne remet pas ton anti virus et effectue le scan de lm2fixune fois que tu as le rapport reactive ton anti virus et vient me mettre le rapportet ne t inquiete pas tu ne risque rien

After8 · Answer

Alors moi ces gens m'épate! trop fort!j'admire et leur dit bravo!sincèrement!After8

balltrap34 · Answer

n importe lequel de lienoui tu te deconnect une fois que tu la telecharger etant donner que tu as desactiver ton anti virus pour ne rien choper

balltrap34 · Answer

comment cela tu est coincer sur la page de garde il faut pointer la souris sur un des elements en bleue et la un menu deroulant defile et tu clik sur se que tu veutexemple tu passe la souris sur virus et il apparait logiciel de securite tu te met dessus et tu clikpour clean up laisse le par defaut

franck1nimes · Answer

pour balltrap sur quel exe je clique ?y en a plusieurs !

franck1nimes · Answer

ca y est t ca colle pour florensacmerci

franck1nimes · Answer

pour lancer  le scan c quel exe ?

franck1nimes · Answer

bon g tout essayé rien ne fonctionne sauf lm2fix batca a l'air de coller avec la procédure que tu l'as indiquéej'ai tapé 1 puis entréj'ai copié le log que je colle ci-dessouslkaspersky arrête pasde gueuler et me trouve un virus dansprocess exe et dans c\...\cache je sais plus trop quoi !L2MFIX find log 1.03These are the registry keys present**********************************************************************************Winlogon/notify:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]"Asynchronous"=dword:00000000"Impersonate"=dword:00000000"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\  6c,00,00,00"Logoff"="ChainWlxLogoffEvent"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]"Asynchronous"=dword:00000000"Impersonate"=dword:00000000"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\  6c,00,6c,00,00,00"Logoff"="CryptnetWlxLogoffEvent"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]"DLLName"="cscdll.dll""Logon"="WinlogonLogonEvent""Logoff"="WinlogonLogoffEvent""ScreenSaver"="WinlogonScreenSaverEvent""Startup"="WinlogonStartupEvent""Shutdown"="WinlogonShutdownEvent""StartShell"="WinlogonStartShellEvent""Impersonate"=dword:00000000"Asynchronous"=dword:00000001[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]"DLLName"="wlnotify.dll""Logon"="SCardStartCertProp""Logoff"="SCardStopCertProp""Lock"="SCardSuspendCertProp""Unlock"="SCardResumeCertProp""Enabled"=dword:00000001"Impersonate"=dword:00000001"Asynchronous"=dword:00000001[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]"Asynchronous"=dword:00000000"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\  6c,00,6c,00,00,00"Impersonate"=dword:00000000"StartShell"="SchedStartShell""Logoff"="SchedEventLogOff"c bien ça qu'il te fallait ?au fait pour les autres log, moe trouve que le ,hijack est bon, et pour le silent runner ?

franck1nimes · Answer

précision pour balltrapKAV trouve le virus not-a-virus:riskware.tool.p...dans process.exe de lm2fix et dans c\....\cache\(je sais plus!!!)

balltrap34 · Answer

c est normal ne t inquiete pas mais recommence le log n est pas complet

balltrap34 · Answer

oui avec le meme

franck1nimes · Answer

voila c fait L2MFIX find log 1.03 These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify ermsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{00022613-0000-0000-C000-000000000046}"="Feuille de propri‚t‚s du fichier multim‚dia" "{176d6597-26d3-11d1-b350-080036a75b03}"="Gestion de scanneur ICM" "{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Page de s‚curit‚ NTFS" "{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Page des propri‚t‚s de OLE DocFile" "{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensions de l'environnement pour le partage" "{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension" "{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Carte du Panneau de configuration" "{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage cran du Panneau de configuration" "{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Panorama du Panneau de configuration" "{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Page de s‚curit‚ DS" "{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Page de compatibilit‚" "{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestionnaire de donn‚es endommag‚es de l'environnement" "{59099400-57FF-11CE-BD94-0020AF85B590}"="Extension copie de disquette" "{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensions de l'environnement pour les objets r‚seau de Microsoft Windows" "{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestion d'‚cran ICM" "{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestion d'imprimante ICM" "{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensions de l'environnement de compression de fichiers" "{77597368-7b15-11d0-a0c2-080036af3f03}"="Extension de l'environnement d'imprimante Web" "{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI" "{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu contextuel de cryptage" "{85BBD920-42A0-1069-A2E4-08002B30309D}"="Porte-documents" "{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extension ic“ne HyperTerminal" "{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts" "{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC" "{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Page de s‚curit‚ des imprimantes" "{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensions de l'environnement pour le partage" "{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension" "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie PKO" "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie Sign" "{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connexions r‚seau" "{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Connexions r‚seau" "{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Scanneurs et appareils photo" "{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Scanneurs et appareils photo" "{905667aa-acd6-11d2-8080-00805f6596d2}"="&Scanneurs et appareils photo" "{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Scanneurs et appareils photo" "{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Scanneurs et appareils photo" "{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension" "{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension" "{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensions de l'interpr‚teur de commandes pour l'environnement d'ex‚cution de scripts Windows" "{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Liaison de donn‚es Microsoft" "{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler" "{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension" "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tƒches planifi‚es" "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barre des tƒches et menu D‚marrer" "{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Rechercher" "{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support" "{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support" "{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ex‚cuter..." "{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet" "{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Courrier ‚lectronique" "{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Polices" "{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Outils d'administration" "{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler" "{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler" "{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler" "{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler" "{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler" "{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor" "{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barre d'outils Internet Microsoft" "{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="tat du t‚l‚chargement" "{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Dossier Bureau ‚tendu" "{6413BA2C-B461-11d1-A18A-080036B11A03}"="Dossier du shell augment‚" "{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy" "{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Bande du navigateur Microsoft" "{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Bande de recherche" "{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band" "{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Volet int‚gr‚ de recherche" "{07798131-AF23-11d1-9111-00A0C98BA67D}"="Recherche Web" "{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilitaire des options de l'arborescence du Registre" "{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse" "{A08C11D2-A228-11d0-825B-00AA005B4383}"="BoŒte d'entr‚e de l'adresse" "{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Saisie semi-automatique Microsoft" "{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor" "{6756A641-DE71-11d0-831B-00AA005B4383}"="Liste de saisie semi-automatique MRU" "{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU" "{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible" "{acf35015-526e-4230-9596-becbe19f0ac9}"="Barre de progrŠs auto-ouvrante" "{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analyseur de la barre d'adresses" "{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft" "{03C036F1-A186-11D0-824A-00AA005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft" "{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft" "{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu Site de bandes" "{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp" "{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barre du Bureau" "{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite" "{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistance utilisateur" "{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="ParamŠtres du dossier global" "{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band" "{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service" "{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer" "{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut" "{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service" "{FF393560-C2A7-11CF-BFF4-444553540000}"="Historique" "{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook" "{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Image de d‚marrage de la Suite IE4" "{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook" "{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC" "{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC" "{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet" "{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space" "{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band" "{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{88C6C381-2E85-11D0-94DE-444553540000}"="Dossier ActiveX Cache" "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" "{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr" "{F5175861-2688-11d0-9C5E-00AA00A45957}"="Dossier Inscription" "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" "{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent" "{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent" "{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent" "{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent" "{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent" "{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler" "{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestionnaire d'applications d'environnement" "{0B124F8F-91F0-11D1-B8B5-006008059382}"="num‚rateur d'applications install‚es" "{CFCCC7A0-A282-11D1-9082-006008059382}"="Publication d'application Darwin" "{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs" "{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory" "{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extracteur de miniatures de fichier + GDI" "{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Gestionnaire de miniatures - Informations de r‚sum‚ (DOCFILES)" "{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extracteur de miniatures HTML" "{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler" "{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Assistant Publication de sites Web" "{add36aa8-751a-4579-a266-d66f5202ccbb}"="Commande d'impressions via le Web" "{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objet Assistant de publication Shell" "{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Assistant Obtenir une identit‚ Passport" "{7A9D77BD-5403-11d2-8785-2E0420524153}"="Comptes d'utilisateurs" "{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler" "{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target" "{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Fichier de chaŒne" "{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Raccourci de chaŒne" "{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object" "{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu" "{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties" "{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview" "{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext" "{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control" "{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control" "{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control" "{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control" "{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control" "{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI" "{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object" "{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find" "{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find" "{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI" "{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs" "{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook" "{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target" "{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties" "{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu" "{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options" "{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Dossier Fichiers hors connexion" "{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler" "{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell" "{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%" "{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler" "{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer" "{32714800-2E5F-11d0-8B85-00AA0044F941}"="Des &personnes..." "{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler" "{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler" "{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler" "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"="aý Context Menu Shell Extension" "{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults" "{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page" "{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions" "{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder" "{950FF917-7A57-46BC-8017-59D9BF474000}"="Shell Extension for CDRW" "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Dossiers Web" "{00020D75-0000-0000-C000-000000000046}"="Microsoft Office Outlook Desktop Icon Handler" "{0006F045-0000-0000-C000-000000000046}"="Microsoft Office Outlook Custom Icon Handler" "{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler" "{EBDF1F20-C829-11D1-8233-FF20AF3E97A9}"="TrojanHunter Menu Shell Extension" "{B28C18DB-6816-4F31-9630-397683E3C2C3}"="Filzip Shell Extension" "{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}"="IZArc DragDrop Menu" "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"="IZArc Shell Context Menu" ********************************************************************************** HKEY ROOT CLASSIDS: ********************************************************************************** Files Found are not all bad files: C:\WINDOWS\SYSTEM32\ authz.dll Wed 2 Mar 2005 20:10:36 A.... 56 832 55,50 K browseui.dll Thu 10 Mar 2005 10:04:12 A.... 1 017 344 993,50 K cdfview.dll Thu 10 Mar 2005 10:04:12 A.... 152 064 148,50 K iepeers.dll Thu 10 Mar 2005 10:04:12 A.... 250 880 245,00 K inseng.dll Thu 10 Mar 2005 10:04:12 A.... 96 768 94,50 K mshtml.dll Thu 10 Mar 2005 10:04:12 A.... 3 010 560 2,87 M msi.dll Mon 21 Mar 2005 15:00:20 A.... 2 890 240 2,75 M msihnd.dll Mon 21 Mar 2005 15:00:22 A.... 271 360 265,00 K msimsg.dll Mon 21 Mar 2005 15:00:22 A.... 884 736 864,00 K msisip.dll Mon 21 Mar 2005 15:00:22 A.... 15 360 15,00 K msrating.dll Thu 10 Mar 2005 10:04:12 A.... 146 432 143,00 K shdocvw.dll Thu 10 Mar 2005 10:04:12 A.... 1 483 776 1,41 M shell32.dll Tue 1 Mar 2005 1:12:24 A.... 8 506 368 8,11 M shlwapi.dll Thu 10 Mar 2005 10:04:12 A.... 474 112 463,00 K shlwap~1.dll Thu 27 Jan 2005 19:14:20 A.... 474 112 463,00 K spmsg.dll Mon 21 Mar 2005 15:00:08 A.... 14 560 14,22 K urlmon.dll Thu 10 Mar 2005 10:04:14 A.... 605 696 591,50 K user32.dll Wed 2 Mar 2005 20:10:36 A.... 578 048 564,50 K wininet.dll Thu 10 Mar 2005 10:04:14 A.... 660 992 645,50 K winine~1.dll Thu 27 Jan 2005 19:14:20 A.... 660 992 645,50 K winsrv.dll Wed 2 Mar 2005 20:10:36 A.... 291 840 285,00 K 21 items found: 21 files, 0 directories. Total of file sizes: 22 543 072 bytes 21,50 M Locate .tmp files: No matches found. ********************************************************************************** Directory Listing of system files: Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est BCF2-9FBA R‚pertoire de C:\WINDOWS\System32 16/04/2005 22:35 dllcache 19/03/2005 23:03 5 AuxDrv32_d.dlx 18/02/2005 21:07 Microsoft 1 fichier(s) 5 octets 2 R‚p(s) 4ÿ874ÿ756ÿ096 octets libres

franck1nimes · Answer

juste aussi pour te préciserle pb c que d'un coup le pc s'éteint sans crier , gare, de plus e, plus souvent et au moin 1 fois par jour: des fois au bout d'une heure, des fois au bout de trois ou quatre( il est rarement allumé plus de 6 ou sept heures d'affilée.de plus, des fois je rentre dans la pièce et j'entends que ca bosse (c le precesseur non ) alors qu'e personne ne s'en sert.on m'a dit que ca pouvait être un pb de chauffe processeur car le couple amd et carte mère km3m msi n'éait paz fameux.j'ai pensé a un virus mais finlement sais pas ?

balltrap34 · Answer

okirelance l2mfix et clik sur l2mfix.bat et cette foix clik sur l option2 et laisse le faire et met moi le rapport et un nouveau rapport hijacket dit moi ou en sont tes soucis

franck1nimes · Answer

g pas de 1 option 2j'ai 1 = run find log        2 = run fixc lequel ?ensuite je te refais seulement 1 hijack ou 1 hijack e 1 silent runner ?

balltrap34 · Answer

run fix

franck1nimes · Answer

okensuite hijack ou hijack et silent runner ?

franck1nimes · Answer

ci joint lez rapportslm2fixL2Mfix 1.03 Running From:C:\Programmes d'Installation\SECURITE\l2mfix  RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and aboveCopyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)This program is Freeware, use it on your own risk!Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:(CI)    DENY   --C-------   	BUILTIN\Administrateurs(ID-NI) ALLOW  Read        	BUILTIN\Utilisateurs(ID-IO) ALLOW  Read        	BUILTIN\Utilisateurs(ID-NI) ALLOW  Full access 	BUILTIN\Administrateurs(ID-IO) ALLOW  Full access 	BUILTIN\Administrateurs(ID-NI) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	CREATEUR PROPRIETAIRE Setting registry permissions: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and aboveCopyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)This program is Freeware, use it on your own risk!Denying C(CI) access for predefined group "Administrators" - adding new ACCESS DENY entry - removing existing ACCESS DENY entry Registry Permissions set too:RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and aboveCopyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)This program is Freeware, use it on your own risk!Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:(CI)    DENY   --C-------   	BUILTIN\Administrateurs(ID-NI) ALLOW  Read        	BUILTIN\Utilisateurs(ID-IO) ALLOW  Read        	BUILTIN\Utilisateurs(ID-NI) ALLOW  Full access 	BUILTIN\Administrateurs(ID-IO) ALLOW  Full access 	BUILTIN\Administrateurs(ID-NI) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	CREATEUR PROPRIETAIRE Setting up for Reboot  Starting Reboot! C:\Programmes d'Installation\SECURITE\l2mfix System Rebooted!  Running From:C:\Programmes d'Installation\SECURITE\l2mfix killing explorer and rundll32.exe Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.orgKilling PID 1300 'explorer.exe'Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.orgError, Cannot find a process with an image name of rundll32.exe Scanning First Pass. Please Wait! First Pass Completed  Second Pass Scanning  Second pass Completed! Zipping up files for submission:  adding: clear.reg (188 bytes security) (deflated 2%)  adding: echo.reg (188 bytes security) (deflated 8%)  adding: direct.txt (188 bytes security) (stored 0%)  adding: lo2.txt (188 bytes security) (deflated 70%)  adding: readme.txt (188 bytes security) (deflated 49%)  adding: report.txt (188 bytes security) (deflated 63%)  adding: test.txt (188 bytes security) (stored 0%)  adding: test2.txt (188 bytes security) (stored 0%)  adding: test3.txt (188 bytes security) (stored 0%)  adding: test5.txt (188 bytes security) (stored 0%)  adding: backregs/shell.reg (188 bytes security) (deflated 74%) Restoring Registry Permissions:  RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and aboveCopyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)This program is Freeware, use it on your own risk!Revoking access for predefined group "Administrators"Inherited ACE can not be revoked here!Inherited ACE can not be revoked here! Registry permissions set too:RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and aboveCopyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)This program is Freeware, use it on your own risk!Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:(ID-NI) ALLOW  Read        	BUILTIN\Utilisateurs(ID-IO) ALLOW  Read        	BUILTIN\Utilisateurs(ID-NI) ALLOW  Full access 	BUILTIN\Administrateurs(ID-IO) ALLOW  Full access 	BUILTIN\Administrateurs(ID-NI) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	CREATEUR PROPRIETAIRERestoring Sedebugprivilege:  Granting SeDebugPrivilege to Administrators   ... failed (GetAccountSid(Administrators)=1332   The following Is the Current Export of the Winlogon notify key:****************************************************************************Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]"Asynchronous"=dword:00000000"Impersonate"=dword:00000000"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\  6c,00,00,00"Logoff"="ChainWlxLogoffEvent"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]"Asynchronous"=dword:00000000"Impersonate"=dword:00000000"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\  6c,00,6c,00,00,00"Logoff"="CryptnetWlxLogoffEvent"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]"DLLName"="cscdll.dll""Logon"="WinlogonLogonEvent""Logoff"="WinlogonLogoffEvent""ScreenSaver"="WinlogonScreenSaverEvent""Startup"="WinlogonStartupEvent""Shutdown"="WinlogonShutdownEvent""StartShell"="WinlogonStartShellEvent""Impersonate"=dword:00000000"Asynchronous"=dword:00000001[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]"DLLName"="wlnotify.dll""Logon"="SCardStartCertProp""Logoff"="SCardStopCertProp""Lock"="SCardSuspendCertProp""Unlock"="SCardResumeCertProp""Enabled"=dword:00000001"Impersonate"=dword:00000001"Asynchronous"=dword:00000001[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]"Asynchronous"=dword:00000000"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\  6c,00,6c,00,00,00"Impersonate"=dword:00000000"StartShell"="SchedStartShell""Logoff"="SchedEventLogOff"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]"Logoff"="WLEventLogoff""Impersonate"=dword:00000000"Asynchronous"=dword:00000001"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\  6c,00,6c,00,00,00[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]"DLLName"="WlNotify.dll""Lock"="SensLockEvent""Logon"="SensLogonEvent""Logoff"="SensLogoffEvent""Safe"=dword:00000001"MaxWait"=dword:00000258"StartScreenSaver"="SensStartScreenSaverEvent""StopScreenSaver"="SensStopScreenSaverEvent""Startup"="SensStartupEvent""Shutdown"="SensShutdownEvent""StartShell"="SensStartShellEvent""PostShell"="SensPostShellEvent""Disconnect"="SensDisconnectEvent""Reconnect"="SensReconnectEvent""Unlock"="SensUnlockEvent""Impersonate"=dword:00000001"Asynchronous"=dword:00000001[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]"Asynchronous"=dword:00000000"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\  6c,00,6c,00,00,00"Impersonate"=dword:00000000"Logoff"="TSEventLogoff""Logon"="TSEventLogon""PostShell"="TSEventPostShell""Shutdown"="TSEventShutdown""StartShell"="TSEventStartShell""Startup"="TSEventStartup""MaxWait"=dword:00000258"Reconnect"="TSEventReconnect""Disconnect"="TSEventDisconnect"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]"DLLName"="wlnotify.dll""Logon"="RegisterTicketExpiredNotificationEvent""Logoff"="UnregisterTicketExpiredNotificationEvent""Impersonate"=dword:00000001"Asynchronous"=dword:00000001 The following are the files found: **************************************************************************** Registry Entries that were Deleted: Please verify that the listing looks ok.  If there was something deleted wrongly there are backups in the backreg folder. ****************************************************************************REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]REGEDIT4[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]"SV1"=""****************************************************************************Desktop.ini Contents: ********************************************************************************************************************************************************ensuite hijackLogfile of HijackThis v1.99.1Scan saved at 21:22:50, on 23/04/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Ahead\InCD\InCDsrv.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\cisvc.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exeC:\Program Files\PopTray\PopTray.exeC:\WINDOWS\System32\imapi.exeC:\WINDOWS\system32\wuauclt.exeC:\WINDOWS\explorer.exeC:\Program Files\mozilla.org\Mozilla\mozilla.exeC:\Program Files\Hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimizeO4 - HKLM\..\Run: [seaWDurlIE] C:\WINDOWS\system32\seaWDurlIE.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocxO16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108670157028O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{17237B01-F550-41DA-8D49-1AECC958D548}: NameServer = 217.19.192.132 217.19.192.131O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exeO23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exeO23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exepuis silent runner"Silent Runners.vbs", revision 35, http://www.silentrunners.org/Operating System: Windows XP SP2Output limited to non-default values, except where indicated by "{++}"Startup items buried in registry:---------------------------------HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"KAVPersonal50" = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize" ["Kaspersky Labs"]"NWEReboot" = (no data)"seaWDurlIE" = "C:\WINDOWS\system32\seaWDurlIE.exe" [file not found]"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]voila tu as les trois

balltrap34 · Answer

tu as redemarrer et ou en sont tes soucis

franck1nimes · Answer

repour l'instant ca va  mais ça le fait pas tout le temps pareil !si déjà demain a la même heure ca n'a pas redémarre intempestivement y aura un mieux.ensuite si ca dure plusieurs jours alors la c'est le top.ca avait commencé dés le début qu'on a eu le pc, puis ca le fait de plus en plus souvent.tu connais uin logiciel free de mesure (carte mère processeur tepérature etc) en francais ?POUR LES TROIS LOGS CA DONNE QUOI STP merci encore et bonne soirée

balltrap34 · Answer

ceci est bizzard tu connait
O4 - HKLM\..\Run: [seaWDurlIE] C:\WINDOWS\system32\seaWDurlIE.exe 

en se qui concerne le logiciel de mesure tu a un log qui s appel AIDA
aida
https://www.commentcamarche.net/telecharger/utilitaires/2829-aida32/

la chasse et le balltrap ma vrai passion
voir site perso dans profil

franck1nimes · Answer

au fait qu'est ce que je fais pour kaspersky qui arrête pas de gueuleril me signale "attention l'accés à l'objet : c system volume information_restore''{aaf105f8-87ed-40da-941-5496199a3e22]-\rp19\a0041733.exe est bloqué car l'objet est infecté par le virus: not-a-virus:Riskware.tool.pmême message pour  lméfix process.exemerci encore

balltrap34 · Answer

restore c est ta restaurationil faut la désactiverpour ça tu fais clic droit sur poste de travailpropriété tu clique sur onglet restauration systèmetu coche la case désactiver la restauration et appliquetu redémarretu fais scan en ligne ici pour verifhttp://www.ravantivirus.com/scan/  et si tout va bien tu réactive ta restauration en refaisant le mêmechemin mais la tu décoche la case et tu redémarreet tu fait un nouveau point de restaurationpour cela tu clik sur demarrer/tous les programmes/accessoires/outil systeme/restauration systeme et tu suis la procedure

franck1nimes · Answer

il faut changer les options d'affichage des fichiers avant le scan ?

franck1nimes · Answer

si je vire c'est par le menu hijack ?c'est une clé de registre ?c'est réversible en cas de besoin ?

balltrap34 · Answer

en theorie nonperso je laisse mes option activer je suis le seul a trifouiller dans mon pcc est interdit pour ma femme et mon fils il peuvent se servir du pcmais pas de modification non mais lol

franck1nimes · Answer

y me semblait avoir vu que le hijack créait un backup et qu''on pouvait ensuite faire une manip i on s'était planté non ?

balltrap34 · Answer

oui si il est bien instaler dans son dossier c est a dire exemplec:hj

moe · Answer

hijack fais bien des backups des fix, sauf s'il se trouve dans un repertoire temporaire (dossier temp).C'est pour ca qu'on precise de le mettre dans un dossier prevu pour.Pratique tant que le fichier correspondant à la ligne n'a pas été effacé, sinon ca sert pas a grand chose.Pour faire une backup d'une ligne (ou plusieurs):lancer hijackthisclic sur "view the list of Backups"cocher la ligne qu'on veut restaurer et clic sur restorea+

franck1nimes · Answer

salut moe ça va ?merci bien pour l'info je vais tenter le coup j'avais peur de virer la clé de registre d'i=un programme de mes fils et de me faire

franck1nimes · Answer

il manque un bour du motla suite c'étaitde me faire appeler jules comme on ditcomme ca si je me gourre je restaureraides que le scan est fini je le colle(il est particulièrement long j'ai oublié un cd dans le lecteur et il se le tape en entierje suis toujours aussi c.n et casse c.....es décidemment !

moe · Answer

Pourquoi tu as fixé une ligne qui fallait pas ?

balltrap34 · Answer

rassure toi cela marrive souvent aussi

franck1nimes · Answer

Scanned============================	Objects: 31088	Directories: 2949	Archives: 2895	Size(Kb): -331381	Infected files: 0Found============================	Viruses found: 0	Suspicious files: 0	Disinfected files: 0	Mail files: 239Ci joint le scan de ravfait avec restauration désactivée mais sans changer l'option d'affichage des dossiers et fichiersdis balltrapp pour lm2fix  kav continue de gueuler sur les deux fichiers que je t'ai indiqués plus haut, c'est chiant parce que même s'ils sont sans risques ca s'affiche sans arrêtsi je les vire par contre je serai obligé de les télécharger a nouveau et c'est bête de recommencery a pas une solution pour qu'il ll'accepte une fois pour toutes?et celui dans c volume information restore c le même ?

franck1nimes · Answer

non non pas encore mais je voulais dire que j'allais essayé de corriger cellle que m'a indiqué balltrap(vois plus haut stp) et que grace au backup je pourrais rectifier si un programme ne fonctinnait plus avec ton système de backupsc bien ca non ?

balltrap34 · Answer

celui de ta restauration ny est plus si tu la desactiveret vire les fichiers c est pas grave c est rapide a telecharger en cas de besoin

balltrap34 · Answer

ho le monde est petit ont cest jamais et si c est pas a nous que tu rend la pareil tu le ferat avec quelqu un d autres d une facon ou l autre c est cela qui s appelle l entraide non lol

balltrap34 · Answer

bonne nuit a toi aussi a++++

franck1nimes · Answer

re-salut balltrap et moepour le hijack j'ai viré la ligneheureusement que vous m'avez décrit la procédure car c'était celle de commande de poptrayc'est un logiciel qui permet de visionner ses courriels, il va les ouvrir sur les différents serveurs (en texte seul, pas en html)sans les rapatrier sur le pc, ce qui permet de ne pas se faire véroler.c vrai que la ligne ne comportait rien qui rappelait le nom de poptrayenfin c bon j'ai pu restaurer grace a votre manipre-bonne nuit

balltrap34 · Answer

good nighta++

franck1nimes · Answer

salut  a tousbon apparemment le pb ne vient pas de la ca continue de s'éteindre tout seul sans écran bleu ni message d erreur !tout a l'heure j'ai réactivé ma sauvegarde et quand j'ai clik sur appliquer rebelottej'essaie de changer la config du modem en passant de bulk/iso a bulk sur le sagem f@st800 j'ai lu que pour certains qui avaient ce problème ca marchait je vous tiens au courant si ca en interesse certainsen tout cas merci a balltrap et moe ce grand nettoyage a fat du bien a mon pc et moi j'ai appris pendant ce temps.bonne soirée a tous les deux et a tous les autres aussia ++

balltrap34 · Answer

dur dur lol tient  nous au courent

moe · Answer

salutLe probleme viens peut etre d'autre chose. (materiel, ram, pilotes...)Tu peut aussi essayer de faire ceci:Panneau de configuration >> systeme >> avancéDans demarrage et récupération tu clic sur parametresdans defaillance du systeme décoche : redemarrer automatiquementtu valide.Ca te permettra peut etre d'avoir + d'infos sur la cause possiblea+

balltrap34 · Answer

salut moeje me trompe ou se week end ont a du mal a leur faire comprendre

moe · Answer

bah, y a des jours commes ca !lol

balltrap34 · Answer

ont s explique mal ou il lise pas tous a mon avis

jean38 · Answer

Salut moe balltrap,le record est à combien de posts pour un pb??la çà a l'air pas mal.c'est top de vous lire tous les 2.Jean

moe · Answer

salut jeanle plus long auquel j'ai participé (il y avait dolly aussi), il fait 156http://www.commentcamarche.net/forum/affich-1342652-je-regarde#0pour franck: apres la manip, pas meme un ecran bleu quand ca reboote ?a+

jean38 · Answer

c'est plus de la tenacité, c'est de l'amour... et du partage bien sur merci pour nous.Jean

jean38 · Answer

tant que tu as des reponses, ç'est que çà chauffe pas sinon personne te repond, on a été aussi dans la m...Mais y a des problemes parfois insolubles j'esper pour toi que ce n'est pas le cas.

balltrap34 · Answer

jean c est pas pour toi que je disaist cela plus haut lolpour ton redemarrage j ai eu des soucis a une epoque du meme genre cela plantais j avais un ecran bleu surtous quand j utiliser pas mal de chose en meme temp et surtout wordcela venait de" la surchauffe du processeur et chipset de carte mereapres demontage du ventilo du proc et du radiateur du chipset nettoyage et application de pate thermique argentique plus de soucis

balltrap34 · Answer

tu dit que ta config ne le permet pas combien a tu de memoire

franck1nimes · Answer

tu connais ou téléch. un prog pour vérif si c un pb de cm ou surchauffe ??

moe · Answer

oui, surchauffe ou alim peut etretu as essayé le lien de balltrap pour aida32 (post70).Ca devrait te donner quelques renseignements..a+

jean38 · Answer

je l'avais pas pris pour moi parce que je sais que j'avais tout compris très vite enfin un peu comme tout le monde en 2 ou trois jours, c'est comme les virus, faut des piqures de rappel de temps en temps.plus c'est long plus ceux qui suivent apprennent..espionnage industriel... lol

balltrap34 · Answer

ta config est pas malperso j ai un atlhon 1800768 mo de ramet une carte elite k7s5aet cela suffit pour faire se que je fait c est a direphotoet autres

balltrap34 · Answer

lol je stop tous pour l instant tres gros orage au dessus de chez moi lol sa fait ch***ra++

moe · Answer

essaye demarrer> executer tape eventvwr.msc et valideregarde dans systeme et dans application recherche une ou plusieurs lignes avec une croix blanche sur fond rouge qui correspondent à l'heure du reboot

franck1nimes · Answer

moe meme merde que l'autre jourkaspersky gueule au viol fichier infecté par un virus(sans précision)aida32ee_393.exe.part et me dit qu'il ne peut pas le supprimer

moe · Answer

tu le desactive le temps d'utiliser aida32tu parlais d'everest tout a l'heure, c'est le meme qu'aida32.sauf que aida32 a été arreté d'etre devellopé et mis a jours je crois.C'est everest qui le remplace.a+

balltrap34 · Answer

ou tu cherche a le telecharger je vois ceciaida32ee_393.exe.part ont ta donner des lien valide et c est du gratuit donc pas besoin du p2p

moe · Answer

bien vu, j'avais pas fais gaffe

balltrap34 · Answer

c est comme cecilm2fixsi tu la pris sur du p2p normal que ton av gueule

franck1nimes · Answer

g téléchargé directement par clik sur ton lien du post 70 avec moz

franck1nimes · Answer

l'orage ca va mieuxpas de dégats ?

franck1nimes · Answer

excusez mais pas possible de répondre avantdeux plantages entre temps alors qu'il n'y avait que le forum en cours!!!

balltrap34 · Answer

prend aida

franck1nimes · Answer

okvaut mieux aida alorsil fait la température proc. et tout  celui-là ?je le télécharge sur telecharger.com ?et jenfais comme hier ?redémarrer, désactiver kav, télécharger, utiliser et virer ensuite puis rebrancher kav et redémarrerputain il est chiant a ce point kav ?

franck1nimes · Answer

re-salut 4 plantages depuis !!Rapport erreur 22h02 le 24.04.05Code erreur 1000007e, paramètre 1 c0000005, paramètre 2 f561b325, paramètre 3 f0262bdc, paramètre 4 f02628d8.0000: 53 79 73 74 65 6d 20 45   System E0008: 72 72 6f 72 20 20 45 72   rror  Er0010: 72 6f 72 20 63 6f 64 65   ror code0018: 20 31 30 30 30 30 30 37    10000070020: 65 20 20 50 61 72 61 6d   e  Param0028: 65 74 65 72 73 20 63 30   eters c00030: 30 30 30 30 30 35 2c 20   000005, 0038: 66 35 36 31 62 33 32 35   f561b3250040: 2c 20 66 30 32 36 32 62   , f0262b0048: 64 63 2c 20 66 30 32 36   dc, f0260050: 32 38 64 38               28d8    Rapport erreur 22h54 le 24.04.05Code erreur 1000007e, paramètre 1 c0000005, paramètre 2 f5630325, paramètre 3 f792dbdc, paramètre 4 f792d8d8.0000: 53 79 73 74 65 6d 20 45   System E0008: 72 72 6f 72 20 20 45 72   rror  Er0010: 72 6f 72 20 63 6f 64 65   ror code0018: 20 31 30 30 30 30 30 37    10000070020: 65 20 20 50 61 72 61 6d   e  Param0028: 65 74 65 72 73 20 63 30   eters c00030: 30 30 30 30 30 35 2c 20   000005, 0038: 66 35 36 33 30 33 32 35   f56303250040: 2c 20 66 37 39 32 64 62   , f792db0048: 64 63 2c 20 66 37 39 32   dc, f7920050: 64 38 64 38               d8d8    Les lignes suivantes seront incluses dans le rapportC:\DOCUME~1\guigui\LOCALS~1\Temp\WER865b.dir00\Mini042405-03.dmpC:\DOCUME~1\guigui\LOCALS~1\Temp\WER865b.dir00\sysdata.xmlje suppose que c inexploitableje peux le coller ou pour voir ?

franck1nimes · Answer

si c (peut être un pb de matos) je devrais peut être aller sur le forum matériel ?je pense aussi a des plantages suite a surtensions légères non géréesc possible ?

franck1nimes · Answer

bon  arrêt des jeux ca s'éteint de plus en plus  je passe sur forum matos on verra merci a tous bonne journée

moe · Answer

salut franckdur, dur...Quand tu double clic sur l'erreur dans l'observateur d'évenement, dans la fenetre qui s'ouvre note ce qu'il y a marqué pour: source id even categorie type et poste le ici pour voir.a+

franck1nimes · Answer

merci moe t'es sympapas possible me connecter avant ca plante en permanence pas possible d'utiliser le forum normalement !finalement j'ai trouvé un trojan en désactivant la resto et en affichant tous les fichiers. bitdefender et kaspersky ne l'ont pas trouvérav en ligne et a2 free oui!!!c win32/killreg.d qui infectait c windows autclock.exeje l'ai viré par a2free mais ca plante toujours ca devait pas etre la cause!ci joint  les rapports de servicesAPPLICATIONsWindows a sauvegardé le Registre utilisateur FOURMENT-5OEW1S\guigui alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé.  Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.SECURITEServices IPSec : Les services IPSec n'ont pas pu obtenir la liste complète des interfaces réseau de cet ordinateur. Cela peut représenter un risque potentiel pour la sécurité de cet ordinateur car certaines interfaces réseau n'obtiendront peut-être pas la protection telle qu'elle était voulue par les filtres IPSec appliqués. Exécutez le composant logiciel enfichable Moniteur IPSec pour diagnostiquer ce problème.SYSTEME1Code erreur 1000007e, paramètre 1 c0000005, paramètre 2 f5ff5325, paramètre 3 f7935bdc, paramètre 4 f79358d8.Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asDETAILS OPTIONS CHIFFRES0000: 53 79 73 74 65 6d 20 45   System E0008: 72 72 6f 72 20 20 45 72   rror  Er0010: 72 6f 72 20 63 6f 64 65   ror code0018: 20 31 30 30 30 30 30 37    10000070020: 65 20 20 50 61 72 61 6d   e  Param0028: 65 74 65 72 73 20 63 30   eters c00030: 30 30 30 30 30 35 2c 20   000005, 0038: 66 35 66 66 35 33 32 35   f5ff53250040: 2c 20 66 37 39 33 35 62   , f7935b0048: 64 63 2c 20 66 37 39 33   dc, f7930050: 35 38 64 38               58d8    2Le service General Purpose USB Driver (adildr.sys) n'a pas pu démarrer en raison de l'erreur : Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé. Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.3Le service Explorateur d'ordinateur s'est arrêté avec l'erreur : Cette opération s'est terminée car le délai d'attente a expiré. Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.Code erreur 1000007e, paramètre 1 c0000005, paramètre 2 f587d325, paramètre 3 f793dbdc, paramètre 4 f793d8d8.Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.5DETAILS OPTIONS MOTS0000: 74737953 45206d65 726f7272 724520200010: 20726f72 65646f63 30303120 373030300020: 50202065 6d617261 72657465 306320730030: 30303030 202c3530 37383566 353233640040: 3766202c 62643339 202c6364 333937660050: 38643864MERCI D'AVANCE ET BON COURAGEc le premier coup que je peux envoyer un message completdepuis deux jours

moe · Answer

salut franck1nimesQuelques infos à tester:Pour celle ci:SECURITE Services IPSec : Les services IPSec n'ont pas pu obtenir la liste complète des interfaces réseau de cet ordinateur. Cela peut représenter un risque potentiel pour la sécurité de cet ordinateur car certaines interfaces réseau n'obtiendront peut-être pas la protection telle qu'elle était voulue par les filtres IPSec appliqués. Exécutez le composant logiciel enfichable Moniteur IPSec pour diagnostiquer ce problème. le service ipsec peut etre desactivévoir ici:http://www.pcastuces.com/pratique/windows/services/page6.htmCelle là:Le service Explorateur d'ordinateur s'est arrêté avec l'erreur : Cette opération s'est terminée car le délai d'attente a expiré. le service Explorateur d'ordinateur peut etre désactivé, sauf si tu as plusieurs ordis en réseaux. (reseau local)http://www.pcastuces.com/pratique/windows/services/page4.htmet enfin celle là:Le service General Purpose USB Driver (adildr.sys) n'a pas pu démarrer en raison de l'erreur : Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.Une piste ici:http://www.commentcamarche.net/forum/affich-1273956-General-Purpose-USB-Driver-probl%E8meapparement un bug ou plantage du driver pour un modem sagem.Tu as mis à jour les drivers de ton modem depuis que tu l'as ?D'autres parlent aussi d'une surchauffe du modem, qui peut aller jusqu'à empêcher la synchro, voire esquinter définitivement l'électronique.Il vaudrait mieux commencer par le modem avant de toucher aux services.Je te conseille avant de faire quoi que ce soit, de créer un point de restauration systeme on sait jamais..demarrer > ts les progs > accessoires > outils systeme > restauration systemeclic sur "créer un point de restauration".Pour désactiver les services:Dans le menu Demarrer>Executer >tape: Services.mscrecherche le service avec cette orthographe exacte:Services IPSECetExplorateur d'ordinateurDouble clic dessus et clic sur [arreter] puis dans :type de demarrage --> sélectionne désactivé.Si tu constate un probleme après les avoirs désactivés, réactive les.Ca m'étonnerais quand meme car chez moi ils sont désactivés depuis déjà un bail...Un redemarrage sera peut etre nécessaire pour que ca prenne effet.En tout cas, tiens moi au couranta+

franck1nimes · Answer

salut moe et mercipour le modem j'en ai deux(sagem 800 malheureusement) hier j'ai changéj'ai mis le neufexactement le même symptome- le driver est a jour et je surveille le site pour l'apparition d'un hypothétique nouveau !je vais aller sur le lien conseillé si pas de solutions je fais ce que tu m'as expliqué on verra bienbonne journée et merci encore.

franck1nimes · Answer

salut Moe ca va ?j'ai été sur le lienil conseille de changer une valeur dans regedit ( mettre 2 a la fin au lieu de 0) quant on a le message que j'aimais la valeur est déjà à 2 alors tu penses que j'essaie l'inverse c a dire de mettre 0 a la place de 2 ??? on sait jamais!pour les services j'arrive pas a trouver mais par contre j'y arrive en faisant msconfigle service explorateur d'ordinateur est arrêtéles services ipsec sont actifs(en cours)je peux arrêter de là non ?bonne soirée et merci d'avance

moe · Answer

salut francktoujours des reboots?tu peut toujours tenter, mais sauvegarde la clé avant on sait jamais.clic droit sur la cle en question> exporterPour les services essaye:demarrer > ts les programmes > acessoires > outils d'administrations > servicesoupanneau de configuration > outils d'administrations > servicesregarde bien, ils doivent y etrerecherche:Services IPSEC Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. et Explorateur d'ordinateur Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. passer par msconfig, je sais pas si c'est une bonne solution.a+

balltrap34 · Answer

salut franckcela aurait ete bien si tu avais relever le nom des trojans

moe · Answer

ben finalement je crois que tu as trouvé la solution à ton probleme, refait quand meme un scan pour verifier qu'il ne sont plus là.le fait d'avoir rendu visible tous les fichiers a du aider.perso je les gardes tous visibles en permanence(sauf les fichiers systeme).si ca reste stable, c'est que ca venait de là.a+

franck1nimes · Answer

moenon pas réglé malheureusement !!si je redémarre la restauration ca replante aussi sec dés que j'appuie sur appliquer! j'ai trouvé j'ai arrêté l'explorateur d'ordinateur et les services ipsecpour le général purpose usb du message posté plus haut je fais quoi stp ?

moe · Answer

si tu as kasperski  regarde ici pour la restau:http://www.d2i.ch/pn/depannage/restauration_systeme_xp.html#seulement_dernier_pt_dispoa+

franck1nimes · Answer

rés mauvaise nouvelle !ca vient de replanter alors que j'avais même pas réactivé la restauration! pendant que j'écrivais un truc sur le forum !c reparti pour un toutles messages d'erreur de l'observteur d'évènementsCode erreur 100000d1, paramètre 1 00000000, paramètre 2 00000002, paramètre 3 00000000, paramètre 4 f5fe7937.support à l'adresse http://go.microsoft.com/fwlink/events.aspPour plus d'informations, consultez le centre Aide et 0000: 53 79 73 74 65 6d 20 45   System E0008: 72 72 6f 72 20 20 45 72   rror  Er0010: 72 6f 72 20 63 6f 64 65   ror code0018: 20 31 30 30 30 30 30 64    100000d0020: 31 20 20 50 61 72 61 6d   1  Param0028: 65 74 65 72 73 20 30 30   eters 000030: 30 30 30 30 30 30 2c 20   000000, 0038: 30 30 30 30 30 30 30 32   000000020040: 2c 20 30 30 30 30 30 30   , 0000000048: 30 30 2c 20 66 35 66 65   00, f5fe0050: 37 39 33 37               7937    0000: 74737953 45206d65 726f7272 724520200010: 20726f72 65646f63 30303120 643030300020: 50202031 6d617261 72657465 303020730030: 30303030 202c3030 30303030 323030300040: 3030202c 30303030 202c3030 656635660050: 37333937Windows a sauvegardé le Registre utilisateur FOURMENT-5OEW1S\guigui alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé.  Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.Pour plus d'informations, consultequ'est ce que vous en pensez ?

Hijack et silent runner

118 réponses

Votre réponse

Discussions similaires

Newsletters