barre de tâche et menu démarrer bloqués Fermé

Question

Bonsoir,
après maintes manipulations et désinfections en tout genre, je viens quémander un peu d'aide ici et j'espère que quelqu'un pourra m'aider à résoudre mon problème : 
Au démarrage, la barre de tâche et le menu démarrer de mon ordinateur se bloque pendant une dizaine de minutes durant lesquelles je peut cependant aller sur internet et ouvrir les dossier du bureau (mais je ne peut rien télécharger).
J'ai nettoyé mon ordinateur avec Ccleaner, Glary, Malwarebytes'Anti-malware (j'ai supprimé les fichier infectés et au dernier scan, il n'en trouvait aucun, je pense donc m'en être débarrassé), The Cleaner. J'ai fait analyser le log de mon ordi ici : http://www.hijackthis.de/fr#anl et j'ai supprimé tout les fichiers jugés dangereux.
Je me suis rendue compte (sûrement un peu trop tard) que la protection résidente d'Avast était désactivée (et j'ai beau cliquer sur rétablir ou sur activer, ça ne marche pas ...) et pour limiter les dégats puisque je n'arrivait pas à la réactiver, j'ai installé le pare-feu Sunbelt Personal Firewall.

Pour faciliter la tâche de ceux qui voudront bien m'aider, je joint les rapports de :

 Malwarebytes'Anti-malware

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3816
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

03/03/2010 00:50:32
mbam-log-2010-03-03 (00-50-32).txt

Type de recherche: Examen rapide
Eléments examinés: 124514
Temps écoulé: 7 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

le rapport de ZHPDiag

que vous pouvez trouver ici : http://www.cijoint.fr/cjlink.php?file=cj201003/cij9nBk6Ng.txt



Finalement, je ne suis pas vraiment sûre que ce souci soit dû à un virus mais je ne sais pas vraiment quoi faire et je dois admettre que je suis un peu perdue.

Merci d'avance à ceux qui accepteront de me consacrer un peu de temps !

cosmido · Answer

• Telechargez UsbFix de C_XX & Chiquitine29,

&#9658; &#9658; &#9658; &#9658;  Branchez tout vos périphériques USB externes, &#9668; &#9668; &#9668; &#9668; 


• Lancez UsbFix
• Sélectionnez l'option 2 – Suppression,

>> Le bureau disparaîtra et le pc redémarrera ,
>> Au redémarrage, UsbFix scannera votre pc, laisse le aller,

>> le rapport apparaîtra,
&#9658; Postez le rapport ( C:\UsbFix.txt ).

__________________________________________________________


Télécharger sur votre Bureau Toolbar-S&D (Team IDN) 

/|\  Désactivez antivirus, spybot.. /|\

• Lancer l'installation de Toolbar-S&D.exe.
• Double-cliquez sur le raccourci de Toolbar-S&D.
• Sélectionner la langue souhaitée (F) en validant.
• Sélectionner l’option 2- Suppression et valider

**  Ne fermer pas la fenêtre lors de la suppression ! **

&#9658; Afficher le rapport.


/|\  Réactivez antivirus. /|\

Si le Bureau ne réapparaît pas
Appuyer simultanément sur Ctrl-Alt-Suppr. &#8594; [Processus] &#8594; Fichier &#8594;  
Nouvelle tâche (Exécuter..), entrez explorer et valider.
__________________________________________________________

Téléchargez sur votre bureau Ad-Remover (de C_XX)

/|\ Désactiver l'antivirus. /|\

• Lancez AD-R.exe,
• Sélectionner la langue,  F et validez par Entrée,
• Déconnectez-vous, quittez les applications ouvertes
• Sélectionner l'option [S. Scanner]

>> Laisser le aller,

• Après le scan, appuyez sur une touche pour ouvrir le rapport..
&#9658; Postez le rapport  (C:\Ad-Report-Clean.log).

/|\  Réactiver l'antivirus. /|\
__________________________________________________________

Double cliquez sur l'icône ZHPFix.exe du Bureau.
• Cliquez sur le bouton [H].
• Copiez/collez les lignes suivantes dans la fenêtres de ZHPFix,
• Cliquez sur [OK]
• Cliquez sur [Tous] et sur [Nettoyer],

O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\drivers\svchost.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\system32\drivers\svchost.exe 
O58 - SDL:[MD5.D3618A89182063825CDD6AE7EDEDCEFB] - 28/11/2008 - 21:50:19 RSH-- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\0D4D913123.sys
O64 - Services: CurCS - (.not file.) - Boonty Games (Boonty Games)  .(.Pas de propriétaire - Pas de description.) - LEGACY_BOONTY_GAMES 
O64 - Services: CurCS - (.not file.) - lac97inf (lac97inf)  .(.Pas de propriétaire - Pas de description.) - LEGACY_LAC97INF 
O64 - Services: CurCS - (.not file.) - TDSSserv (TDSSserv)  .(.Pas de propriétaire - Pas de description.) - LEGACY_TDSSSERV 



&#9658; S'il vous ait proposé de redémarrer le PC, faites le

&#9658; Copiez/collez le rapport dans votre prochaine réponse.

__________________________________________________________

• Afficher les fichiers & répertoires cachés (XP),

• Aller vérifier pour supprimer ce fichier :
C:\WINDOWS\system32\0D4D913123.sys

__________________________________________________________



&#9658; Relancer ZHPDiag et poster un nouveau rapport.


.

cosmido · Answer

bonjour,

Ont checkra la barre de tâche après la désinfection.

sid · Answer

Voici le rapport de USBFix : 


############################## | UsbFix V6.097 |

User : sdfggg (Administrateurs) # NOM-551889EB9E5
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 13:27:14 | 03/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) D CPU 2.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Disabled
AV : avast! Antivirus 5.0.83886498 [ Enabled | Updated ]
FW : Sunbelt Personal Firewall[ Enabled ]4.6.1861 T

C:\ -> Disque fixe local # 298,09 Go (191,36 Go free) [467175] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible # 1,83 Go (246,5 Mo free) # FAT
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible # 1007,72 Mo (5,22 Mo free) # FAT
K:\ -> Disque amovible # 952,19 Mo (730,7 Mo free) # FAT
L:\ -> Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
M:\ -> Disque amovible # 3,74 Go (0 Mo free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\eHome\ehRec.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Alwil Software\Avast5\setup\avast.setup
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-1310000925-26382513-4155402622-500 
Supprimé ! C:\Recycler\S-1-5-21-418572440-4079715340-1974227390-1005 
Supprimé ! C:\Recycler\S-1-5-21-418572440-4079715340-1974227390-500 
Supprimé ! J:\autorun.inf 
(!) Non supprimé ! L:\autorun.inf 
Supprimé ! M:\SYSTEM 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{59de506c-2337-11dc-87e4-0018f393a212}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{902ac306-f6ba-11dc-9f12-0017317057a7}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{994c7699-3fba-11dd-9fc6-0017317057a7}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{aa10cbbb-886d-11dc-8880-0018f393a212}\Shell\1\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{ae0a2062-7dee-11de-a205-0017317057a7}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{b54ddea5-8087-11db-86b2-0018f393a212}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{c0f66768-7df2-11de-a206-0017317057a7}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{c0f66769-7df2-11de-a206-0017317057a7}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[08/11/2006 10:28|---------|1054] C:\868000467175.dat 
[09/05/2007 15:49|---------|0] C:\AILog.txt 
[08/11/2006 08:36|---------|0] C:\AUTOEXEC.BAT 
[30/11/2006 16:29|-r-hs----|209] C:\boot.ini 
[10/08/2004 13:00|-r-hs----|4952] C:\Bootfont.bin 
[08/11/2006 08:36|---------|0] C:\CONFIG.SYS 
[22/10/2008 16:00|---------|0] C:\dumpconsole.txt 
[30/11/2006 16:30|---------|27] C:\expand.txt 
[?|?|?] C:\hiberfil.sys 
[06/07/2007 11:26|---------|1091] C:\INSTALL.LOG 
[08/11/2006 08:36|-r-hs----|0] C:\IO.SYS 
[11/10/2004 06:18|---------|19] C:\LANG.TXT 
[09/04/2003 09:44|---------|10] C:\Language.txt 
[08/11/2006 08:36|-r-hs----|0] C:\MSDOS.SYS 
[10/08/2004 13:00|-r-hs----|47564] C:\NTDETECT.COM 
[25/10/2008 10:46|-r-hs----|252240] C:
tldr 
[04/08/2004 13:00|---------|2] C:\oem.tag 
[?|?|?] C:\pagefile.sys 
[08/11/2006 10:28|---h-----|18614] C:\Prodlog.txt 
[14/08/2007 20:47|---------|304160] C:\StiImg.dat 
[31/10/2005 16:56|---------|700416] C:\StubInstaller.exe 
[24/05/2001 11:59|---------|162304] C:\UNWISE.EXE 
[03/03/2010 13:36|--a------|4759] C:\UsbFix.txt 
[24/04/2008 17:07|--a------|1410048] G:\_DS_MENU.DAT 
[18/07/2007 15:41|--a------|497728] G:\_DS_MSHL.NDS 
[05/06/2007 15:45|--a------|16777216] G:\1128 - Anno 1701 (E)(M6)(FireX).nds 
[08/11/2008 20:39|--a------|134217728] G:\2897 - Professor Layton and the Curious Village (E)(M5)(XMS).nds 
[27/02/2010 21:44|--a------|524288] G:\FF CC echoes of time.SAV 
[01/10/2008 17:53|--a------|33554432] G:\2734 - Phoenix Wright Ace Attorney Trials and Tribulations (E)(M2)(XMS).nds 
[20/05/2009 16:15|--a------|33554432] G:\3785 - Anno - Create A New World (E)(M5)(iND).nds 
[07/05/2008 17:53|--a------|67108864] G:\2289 - Apollo Justice Ace Attorney (E)(M2)(XMS).nds 
[13/02/2008 14:48|--a------|67108864] G:\2011 - Cooking Mama 2 Dinner With Friends (E)(M5)(XMS).nds 
[02/03/2010 20:39|--a------|524288] G:\Final Fantasy Crystal Chronicles Echoes Of Time.SAV 
[02/03/2010 20:52|--a------|524288] G:\Ankh La Malediction du Roi Scarabee.SAV 
[17/08/2008 19:23|--a------|33554432] G:\986 - Pokemon Ranger (E)(FireX).nds 
[28/06/2006 20:35|--a------|33554432] G:\479 - New Super Mario Bros. (E)(Supremacy).nds 
[23/01/2010 21:23|--a------|524288] G:\2321 - Touch Detective II (F)(XMS).SAV 
[05/01/2010 13:29|--a------|4194304] G:\_DS_MENU.SYS 
[16/02/2010 11:47|--a------|524288] G:\1128 - Anno 1701 (E)(M6)(FireX).SAV 
[10/05/2007 14:57|--a------|33554432] G:\1062 - Picross DS (E)(Legacy).nds 
[03/03/2010 00:12|--a------|524288] G:\1062 - Picross DS (E)(Legacy).SAV 
[28/02/2010 19:09|--a------|524288] G:\2897 - Professor Layton and the Curious Village (E)(M5)(XMS).SAV 
[11/02/2010 17:47|--a------|524288] G:\479 - New Super Mario Bros. (E)(Supremacy).SAV 
[19/02/2010 16:31|--a------|524288] G:\2011 - Cooking Mama 2 Dinner With Friends (E)(M5)(XMS).SAV 
[30/01/2010 13:43|--a------|524288] G:\2289 - Apollo Justice Ace Attorney (E)(M2)(XMS).SAV 
[29/11/2006 19:14|--a------|33554432] G:\716 - Yoshi's Island (E)(FireX).nds 
[20/02/2010 00:37|--a------|524288] G:\716 - Yoshi's Island (E)(FireX).SAV 
[01/06/2006 09:31|--a------|16777216] G:\457- Dr Kawashima's Brain Training - How Old Is Your Brain (E)(Supremacy).nds 
[22/09/2005 11:26|--a------|67108864] G:\0102 - Nintendogs - Labrador & Friends (E)(Squirrels)(78678FEF).nds 
[28/02/2010 22:39|--a------|524288] G:\0102 - Nintendogs - Labrador & Friends (E)(Squirrels)(78678FEF).SAV 
[14/02/2010 03:30|--a------|524288] G:\457- Dr Kawashima's Brain Training - How Old Is Your Brain (E)(Supremacy).SAV 
[19/01/2010 00:30|--a------|524288] G:\2862 - Whats Cooking Jamie Oliver (E)(Xenophobia).SAV 
[28/02/2010 15:44|--a------|524288] G:\Mario et Sonic aux Jeux Olympiques d'Hiver.SAV 
[01/11/2008 13:47|--a------|16777216] G:\2862 - Whats Cooking Jamie Oliver (E)(Xenophobia).nds 
[08/12/2007 19:32|--a------|16777216] G:\1797 - CrossworDS (E)(sUppLeX).nds 
[29/01/2010 13:59|--a------|524288] G:\2832 - Lost In Blue 3 (E)(PUPPA).SAV 
[28/01/2010 00:49|--a------|524288] G:\986 - Pokemon Ranger (E)(FireX).SAV 
[28/02/2010 16:36|--a------|524288] G:\1797 - CrossworDS (E)(sUppLeX).SAV 
[17/01/2010 15:48|--a------|524288] G:\3785 - Anno - Create A New World (E)(M5)(iND).SAV 
[14/02/2010 14:20|--a------|524288] G:\415- MegaMan Battle Network 5 - Double Team DS (E)(Trashman).SAV 
[12/02/2010 19:47|--a------|524288] G:\2734 - Phoenix Wright Ace Attorney Trials and Tribulations (E)(M2)(XMS).SAV 
[23/05/2008 19:25|--a------|33554432] G:\2321 - Touch Detective II (F)(XMS).nds 
[23/02/2010 22:43|--a------|524288] G:\Final_Fantasy_Crystal_Chronicles_Echoes_of_Time.SAV 
[29/06/2008 21:37|--a------|9232] G:\xms-tcne.nfo 
[25/10/2008 11:49|--a------|67108864] G:\2832 - Lost In Blue 3 (E)(PUPPA).nds 
[21/04/2006 21:41|--a------|67108864] G:\415- MegaMan Battle Network 5 - Double Team DS (E)(Trashman).nds 
[02/03/2010 23:17|--a------|524288] G:\Scribblenauts_EUR.SAV 
[26/02/2010 17:41|--a------|524288] G:\2625 - Spore Creatures (E)(M6)(XMS).SAV 
[03/09/2008 15:06|--a------|33554432] G:\2625 - Spore Creatures (E)(M6)(XMS).nds 
[02/03/2010 13:26|--a------|524288] G:\Final_Fantasy_III.SAV 
[26/02/2010 23:41|--a------|524288] G:\Harry Potter and the Half Blood Prince.SAV 
[02/03/2010 13:09|--a------|524288] G:\MySims Party.SAV 
[02/03/2010 17:07|--a------|524288] G:\MySims_Agents_EUR.SAV 
[24/02/2010 22:48|--a------|524288] G:\Ace Attorney Investigations Miles Edgeworth [EUR].SAV 
[26/02/2010 22:07|--a------|524288] G:\4697 - Ace Attorney Investigations Miles Edgeworth (E)(iND).SAV 
[10/09/2009 18:32|--a------|33554432] G:\Scribblenauts_EUR.nds 
[28/02/2010 19:13|--a------|524288] G:\4201 - Professeur Layton et la Boite de Pandore (F)(BAHAMUT).SAV 
[13/09/2008 12:38|--a------|134217728] G:\Final_Fantasy_III.nds 
[01/07/2009 14:36|--a------|67108864] G:\Harry Potter and the Half Blood Prince.nds 
[24/09/2009 13:59|--a------|67108864] G:\MySims_Agents_EUR.nds 
[11/03/2009 18:09|--a------|33554432] G:\MySims Party.nds 
[21/09/2008 00:34|--a------|134217728] G:\Ankh La Malediction du Roi Scarabee.nds 
[23/09/2009 12:44|--a------|134217728] G:\4201 - Professeur Layton et la Boite de Pandore (F)(BAHAMUT).nds 
[24/12/2009 22:30|--a------|134217728] G:\Mario et Sonic aux Jeux Olympiques d'Hiver.nds 
[25/03/2009 14:11|--a------|121306464] G:\Final Fantasy Crystal Chronicles Echoes Of Time.nds 
[01/01/2005 00:00|---------|512] K:\PREFER.DAT 
[06/05/2008 13:26|-r-------|309] L:\autorun.inf 
[23/10/2007 08:45|-r-------|1336632] L:\LaunchU3.exe 
[06/05/2008 13:11|-r-------|5600229] L:\LaunchPad.zip 
[23/10/2007 10:45|-ra------|1336632] M:\LaunchU3.exe 
[15/07/2009 10:13|--ah-----|4096] M:\._.Trashes 
[16/07/2009 16:09|--ah-----|4096] M:\._.TemporaryItems 
[28/08/2008 13:41|--a------|4066369] M:\Rednex - Cotton-Eyed Joe.mp3 
[02/06/2009 13:45|--a------|7141504] M:\Bob Dougan - Clubbed to death.mp3 
[08/05/2008 16:17|--a------|5202048] M:\Massive Attack - Teardrop.mp3 
[19/06/2008 17:17|--a------|3065223] M:\Massive Attack - Heat Miser.mp3 
[03/09/2009 17:26|--a------|1554] M:\CCleaner.lnk 
[20/09/2008 16:02|--a------|702] M:\Malwarebytes' Anti-Malware.lnk 
[20/09/2008 15:55|--a------|681] M:\Glary Utilities.lnk 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# J:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# K:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# M:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_NOM-551889EB9E5.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.097 ! |







au redémarrage, un message s'est affiché : "invalid system disk Replace the disk and then press any key" j'ai du éteindre totalement l'ordi (avec l'interrupteur au dos de la tour) pour qu'il accepte de redémarrer. Le scan s'est quand même déclenché. A priori, la barre de tâche n'était pas bloquée cette fois mais la petite musique de démarrage ne s'est déclenchée que 5 minutes après le démarrage.

Autre symptôme (sait-on jamais, il pourrait y avoir un rapport), bien que connectée et allumée, l'imprimante refuse d'imprimer quoi que ce soit, comme si elle était éteinte.


je m'empresse d'effectuer les autres opérations et je poste le rapport dès que je l'ai.

sid · Answer

voilà le rapport de Toolbar-S&D : 


   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) D CPU 2.80GHz )
   BIOS : BIOS Date: 10/17/06 20:31:52 Ver: 08.00.12
   USER : sdfggg ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! Antivirus 5.0.83886498 (Activated)
   Firewall  : Sunbelt Personal Firewall 4.6.1861 T (Activated)
   C:\ (Local Disk) - NTFS - Total:298 Go (Free:191 Go)
   D:\ (CD or DVD)
   E:\ (USB)
   F:\ (USB)
   G:\ (USB) - FAT - Total:1875 Mo (Free:0 Go)
   H:\ (USB)
   I:\ (USB)
   J:\ (USB) - FAT - Total:1007 Mo (Free:0 Go)
   K:\ (USB) - FAT - Total:952 Mo (Free:0 Go)
   L:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   M:\ (USB) - FAT32 - Total:3827 Mo (Free:0 Go)
   N:\ (USB)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 03/03/2010|13:52 )

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\GamesBar\Localization2-French.ini
   Supprime! - C:\Program Files\GamesBar

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (sdfggg) - {D02B1E87-A8C6-433f-9B5C-2CEC4A072736} => signupshield
   (sdfggg) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user
   (sdfggg) - {8f8fe09b-0bd3-4470-bc1b-8cad42b8203a} => livehttpheaders
   (sdfggg) - {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} => wot
   (sdfggg) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Bar"="https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://fr.yahoo.com/"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections

   --------------------\  ROOTKIT !!

   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv]




   1 - "C:\ToolBar SD\TB_1.txt" - 03/03/2010|13:55 - Option : [2]

   -----------\  Fin du rapport a 13:55:29,56

cosmido · Answer

..

oh oh.., y de TDSS......

Téléchargez Malwarebytes gratuit
• Lancez l'installation,
• Choisissez de créer un icône sur le bureau,
• Après l'installation, s'il propose de redémarrer ← N'acceptez pas

• Lancer Malwarebytes ..avec son icône,
• Aller dans [Mise à jours] → [Recherche de mise à jour]..,
• Aller dans [Recherche] → [Exécuter un examen Complet],

Après le scan;
• Sauvegarder le rapport ..et
• Appuyer sur [Supprimer la sélection] << (IMPORTANT),
>> Redémarrer si proposé.. << (IMPORTANT),

► Postez le rapport Malwarebytes.

..

sid · Answer

voilà le rapport d'Ad-Remover : 

HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
HKU\s-1-5-21-418572440-4079715340-1974227390-1005\software\LanConfig
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.6 [fr] *
.
 Nom du profil: msnn4sd8.default (sdfggg)
.
(sdfggg, prefs.js) Browser.download.lastDir, C:\Documents and Settings\sdfggg\Bureau
(sdfggg, prefs.js) Browser.search.selectedEngine, Google
(sdfggg, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr-FR:official
(sdfggg, prefs.js) Keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA2&q=
. 
.
* Internet Explorer Version 6.0.2900.5512 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Use Custom Search URL: 1 (0x1)
Search Bar: hxxp://search.msn.fr/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://fr.yahoo.com/fsc/
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://www.msn.com/
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\All Users\Application Data\Corel\Downloads\540228105_317005\1151547598334\PSP_EN_DE_FR_ES_IT_NL_Patch.exe
C:\Documents and Settings\All Users\Application Data\Corel\Downloads\540228105_317005\1151547598334\PSP_EN_DE_FR_ES_IT_NL_Patch\Chainer.exe
C:\Documents and Settings\All Users\Application Data\Corel\Downloads\540228105_317005\1151547598334\PSP_EN_DE_FR_ES_IT_NL_Patch\Chainer\Launcher.exe
C:\Documents and Settings\All Users\Application Data\Corel\Downloads\540228105_317005\1151547598334\PSP_EN_DE_FR_ES_IT_NL_Patch\Chainer\Setup.exe
.
===================================
.
3421 Octet(s) - C:\Ad-Report-SCAN[1].log 
.
2237 Fichier(s) - C:\DOCUME~1\sdfggg\LOCALS~1\Temp 
10 Fichier(s) - C:\WINDOWS\Temp 
81 Fichier(s) - C:\WINDOWS\Prefetch 
.
1 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 14:22:53 | 03/03/2010 - SCAN[1]
.
============== E.O.F ==============
.

sid · Answer

et enfin, le rapport de ZHPFix (je suppose) (pas de redémarrage) : 

ZHPFix v1.12.307  by Nicolas Coolman - Rapport de suppression du 03/03/2010 14:27:05
Fichier d'export Registre : C:\ZHPExportRegistry-03-03-2010-14-27-05.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\drivers\svchost.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\system32\drivers\svchost.exe  => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\windows\system32\drivers\svchost.exe  => Fichier absent
c:\windows\system32\0d4d913123.sys  => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 0
Fichier : 2
Logiciel : 0
Autre : 0


End of the scan



je lance Malwarebytes tout de suite et je transmet le rapport ...

cosmido · Answer

..


Aller supprimer ces fichiers qui sont autant d'infection en puissance.
Si après instalation, un de ces genres de programmes ce déploient sur un système, celui-ci peut devenir presqu'intulisable.

C:\Documents and Settings\All Users\Application Data\Corel\Downloads\540228105_317005\1151547598334\PSP_EN_DE_FR_ES_IT_NL_Patch.exe

C:\Documents and Settings\All Users\Application Data\Corel\Downloads\540228105_317005\1151547598334\PSP_EN_DE_FR_ES_IT_NL_Patch\Chainer.exe

C:\Documents and Settings\All Users\Application Data\Corel\Downloads\540228105_317005\1151547598334\PSP_EN_DE_FR_ES_IT_NL_Patch\Chainer\Launcher.exe

C:\Documents and Settings\All Users\Application Data\Corel\Downloads\540228105_317005\1151547598334\PSP_EN_DE_FR_ES_IT_NL_Patch\Chainer\Setup.exe
.

sid · Answer

résultat de malwarebytes : 

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3818
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

03/03/2010 14:43:15
mbam-log-2010-03-03 (14-43-15).txt

Type de recherche: Examen rapide
Eléments examinés: 126438
Temps écoulé: 7 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\Temp\~TM5F.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\~TMD.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.


(ces fichiers apparaissent régulièrement lorsque j'utilise malwarebytes ... je ne sais pas s'ils sont vraiment supprimés)

après le redémarrage, je supprimerai les fichiers que vous m'avez indiqué. 
Pour le fichier C:\WINDOWS\system32\0D4D913123.sys, c'est sûr sûr sûr qu'on peut supprimer un fichier .sys sans risque ?


en tout cas, merci de m'aider ! ^^

cosmido · Answer

..

• Aller dans Démarrer -> Tout les programmes -> Accessoires ..
• Ouvrez l'invité de commandes,
• Copier/coller(par un clic-droit) les commandes suivantes et valider pour chacune : 

Reg delete "HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV" /f
Reg delete "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV" /f
Reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV" /f
Reg delete "HKLM\SYSTEM\ControlSet003\Services\TDSSserv" /f

S'il y a un message d'erreur lors du lancement de ces comandes, dîtes le, merci.

sid · Answer

j'ai cherché le fichier 0D4D913123.sys (C:\WINDOWS\system32\0D4D913123.sys) mais je ne l'ai pas trouvé (les fichiers cachés étaient affichés). je ne l'ai pas non plus trouvé avec l'option rechercher (en choisissant de chercher aussi dans les fichiers cachés) ... donc je ne peux pas le supprimer. C'est gênant ?

sid · Answer

alors pour les 2 premiers, c'est bon,

pour 

Reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV" /f
  ça indique erreur : le système n'a pas pu trouver la clé ou la valeur de Registre spécifiée



Reg delete "HKLM\SYSTEM\ControlSet003\Services\TDSSserv" /f  ça indique error : accès refusé

cosmido · Answer

..

C'est correct.
Je vous avait fait vérifier pour le supprimer.
Parce que j'étais pas certain que ZHPFix le supprimerait, mais apparemment il l'a fait.

Tel que le rapport le montre !
c:\windows\system32\0d4d913123.sys => Supprimé et mis en quarantaine 

___________________________________________


&#9658; Faites les procédures suivantes dans la séquence proposée.


Mises à jours Logiciels.
Très Important pour prévenir les failles de sécurités des logiciels qui ont accès à Internet.

• Adobe : https://get2.adobe.com/reader/otherversions/

• Suivez ce tuto de Javara, pour télécharger et installer Java,
• Et ensuite, supprimer les anciennes version de Java.

• Faites les mise à jours proposées par Sumo Lite ou Secunia.

&#9658; À vérifier aux 30jours.
___________________________________________

Double cliquez sur l'icône ZHPFix.exe du Bureau.
• Cliquez sur le bouton [H].
• Copiez/collez les lignes suivantes dans la fenêtres de ZHPFix,
• Cliquez sur [OK]
• Cliquez sur [Tous] et sur [Nettoyer],

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} . (.Yahoo! Inc. - Yahoo! Toolbar 5.3 for Internet Explorer.) -- C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} . (.Microsoft Corporation - WindowsLiveLogin.dll.) -- C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} . (.Sun Microsystems, Inc. - Java(TM) Quick Starter binary.) -- C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Yahoo! Inc. - Yahoo! Toolbar 5.3 for Internet Explorer.) -- C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [ehTray] . (.Microsoft Corporation - Media Center Tray Applet.) -- C:\WINDOWS\ehome\ehtray.exe 
O4 - HKLM\..\Run: [NvCplDaemon] . (.NVIDIA Corporation - NVIDIA Display Properties Extension.) -- C:\WINDOWS\system32\NvCpl.dll 
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.)  -- C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk . (.Microsoft Corporation - Microsoft Office 2000 component.)  -- C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: OpenOffice.org 3.1.lnk . (.Pas de propriétaire - Pas de description.)  -- C:\Program Files\OpenOffice.org 3\program\quickstart.exe 


&#9658; S'il vous ait proposé de redémarrer le PC, faites le

&#9658; Copiez/collez le rapport dans votre prochaine réponse.

_____________________________________________

Musicbrigade ; Possiblement décochable dans Msconfig. Auquel cas, pourriez créer un raccourci placé sur le bureau pour utilisation au besoin ..
c:\Musicbrigade\Musicbrigade.exe 

Accessible dans Démarrer &#8594; Exécuter Msconfig &#8594; [Démarrage]

_____________________________________________

Gestion des service-Logiciel.
Peuvent être arrêtés lorsqu'inutilisés par leurs programmes.
Seront chargés que lorque leurs programmes seront lancés.

• Allez dans Menu Démarrer &#8594; Exécuter.., entrez  services.msc et valider.
• Double-cliquer sur les services suivants et mettez leurs "Type de démarrage" &#8594; en Manuel 

C-DillaCdaC11BA
NVSvc NVIDIA
gusvc Google
Java Quick Starter Service   &#8592; Peut-être désactivé
_____________________________________________

Désinstaller les toolbar : Yahoo!, Google
Si comme la majorité des utilisateurs, vous n'utilisez jamais ça.

Ça ajouterait en ressources aux performances du PC.
___________________________________________

Télécharger CCleaner version Slim : Téléchargement - & - Tutoriel.  
• Installer et lancer CCleaner,  
• Décochez la mise à jour automatique,
•.Lancez  Ccleaner avec l'icône créé sur le bureau,
 
• Cliquez sur "Option" et &#8594; "Avancé" et Décochez &#8594; Effacer uniquement les fichiers temporaire .. de plus de 48 heures,
 
• Sélectionnez  "Nettoyeur" et cliquez sur &#8594; "Windows", allez à la section "Avancé",
• Et Cochez uniquement la première case "Vieilles données du prefetch",

• Sélectionnez le bouton [Analyse].., lorsque complété,  
• Cliquer sur [Nettoyage], jusqu’à ce que la fenêtre soit vide.
 
Lorsque  ce nettoyage est complété.
Remettre les options standard, pour une utilisation au quotidien.
• Allez Recocher dans les Options &#8594; Avancé : Effacer uniquement les fichiers temporaire .. de plus de 48 heures
• Et Décocher "Vieilles données du prefetch" dans Nettoyeur &#8594; Windows


À utiliser avant chaque fermeture du PC.

sid · Answer

raaah ! j'avais copier le rapport de ZHPFix dans mon message et j'attendait d'avoir tout fait pour le poster mais sans y penser, j'ai fermé firefox pour Ccleaner ... j'ai relancé ZHPFix mais du coup il y a plein de "clé absente" et de "valeur absente". je vous met quand même le rapport : 

ZHPFix v1.12.307  by Nicolas Coolman - Rapport de suppression du 03/03/2010 17:46:41
Fichier d'export Registre : C:\ZHPExportRegistry-03-03-2010-17-46-41.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} . (.Yahoo! Inc. - Yahoo! Toolbar 5.3 for Internet Explorer.) -- C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll  => Clé absente
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} . (.Pas de propriétaire - Pas de description.) -- (.not file.)  => Clé absente
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} . (.Microsoft Corporation - WindowsLiveLogin.dll.) -- C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll  => Clé absente
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll  => Clé absente
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jp2ssv.dll  => Clé absente
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} . (.Sun Microsystems, Inc. - Java(TM) Quick Starter binary.) -- C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll  => Clé absente

Valeur du Registre :
O4 - HKLM\..\Run: [ehTray] . (.Microsoft Corporation - Media Center Tray Applet.) -- C:\WINDOWS\ehome\ehtray.exe  => Valeur absente
O4 - HKLM\..\Run: [NvCplDaemon] . (.NVIDIA Corporation - NVIDIA Display Properties Extension.) -- C:\WINDOWS\system32\NvCpl.dll  => Valeur absente
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe  => Valeur absente
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur absente
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur absente
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur absente

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\program files\yahoo!\companion\installs\cpn\ycomp5_3_19_0.dll  => Fichier absent
c:\program files\fichiers communs\microsoft shared\windows live\windowslivelogin.dll  => Fichier absent
c:\program files\google\googletoolbarnotifier\5.1.1309.3572\swg.dll  => Fichier absent
c:\program files\java\jre6\bin\jp2ssv.dll  => Fichier absent
c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll  => Fichier absent
c:\windows\ehome\ehtray.exe  => Supprimé et mis en quarantaine
c:\windows\system32
vcpl.dll  => Fichier absent
c:\program files\java\jre6\bin\jusched.exe  => Fichier absent
c:\program files\google\googletoolbarnotifier\googletoolbarnotifier.exe  => Fichier absent
c:\windows\system32\ctfmon.exe  => Supprimé et mis en quarantaine
c:\windows\system32\ctfmon.exe  => Fichier absent
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.)  -- C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe  => Supprimé et mis en quarantaine
O4 - Global Startup: Microsoft Office.lnk . (.Microsoft Corporation - Microsoft Office 2000 component.)  -- C:\Program Files\Microsoft Office\Office\OSA9.EXE  => Supprimé et mis en quarantaine
O4 - Global Startup: OpenOffice.org 3.1.lnk . (.Pas de propriétaire - Pas de description.)  -- C:\Program Files\OpenOffice.org 3\program\quickstart.exe  => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 6
Valeur du Registre : 7
Elément de données du Registre : 0
Dossier : 0
Fichier : 14
Logiciel : 0
Autre : 0


End of the scan


pour les services logiciel à mettre en démarrage manuel, je n'ai pas trouvé NVSvc NVIDIA ni gusvc Google .


et pour les toolbar, je ne sais pas les désinstaller (pas accessible via ajout/suppression de programme)

Pour le reste, Avast refuse toujours de réactiver la protection résidente, mon imprimante refuse toujours d'imprimer et je vais redémarrer l'ordi pour voir si ça bloque encore 1/4 d'heure au démarrage.

cosmido · Answer

Réovrez ZHPFix et appuyer sur ce bouton pour restaurer la quarantaine
Tel que sur cette image

Ensuite ..
Téléchargez sur le bureau HijackThis,

• Installez HJTInstall.exe et lancez le raccourci créé sur le bureau,
• Appuyer sur [Do a system scan and save a log file],

>> Le bloc-note va s'ouvrir avec un rapport,
&#9658; Postez le rapport.

sid · Answer

rapport HJT : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:28:18, on 03/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ZHPDiag\ZHPFix.exe
C:\Documents and Settings\sdfggg\Mes documents\anti spyware\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [tcactive] C:\Program Files\The Cleaner	cap.exe
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

cosmido · Answer

..
Pouvez vous aller vérifier si ces fichiers (OSA9.EXE et quickstart.exe ) sont à ces endroits ;

C:\Program Files\OpenOffice.org 3\program\quickstart.exe     

C:\Program Files\Microsoft Office\Office\OSA9.EXE     

merci

sid · Answer

oui, ils y sont.

cosmido · Answer

..

Les quelques suppressions proposées avec HijackThis, n'ont pour but que d'ajouter aux performances du PC et ne sont donc pas obligatoires. En supprimant des objets / programmes qui sont lancés inutilement au démarrage du PC. 

Aucun fichiers de programmes ne sont supprimés avec Hijackthis. En fait ces suppressions ne s'applique qu'à des endroits du registre prévus, pour le lancement automatique de programmes au démarrage du PC.

De ces suppressions faites avec HijackThis, quelque unes peuvent aussi être faites(que pour les lignes 04-) avec MSConfig  &#8594; [Démarrage], où il y aurait qu'à Décocher les processus (qui seraient toujours Recochable si nécessaire), à vérifier..


Relancer HijackThis
• Appuyer sur [Do a system scan only],
• Cocher les lignes suivantes 
>>> Fermer Internet Explorer et autre fenêtre..
• Appuyer sur [Fix Checked] pour les supprimer.

À cocher - non-nécessaire.
R3 - Default URLSearchHook is missing 
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe     
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE     

À votre choix - Voice_Manager from Realtek
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE     

À cocher - non-nécessaire.
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE     
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install     
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"     
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"     
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup  
   
À votre choix.
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check   
  
À cocher - non-nécessaire.
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe     
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe     
O4 - Global Startup: McAfee Security Scan Plus.lnk = ? 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE     


Redémarrer le PC.
_____________________________________________________


Aller désinstaller Boonty Games

sid · Answer

j'ai supprimé tout ça, effacé Boonty games et redémarré mais le PC est toujours aussi lent au démarrage ... j'ai pensé que ce problème était dû à un virus parce qu'il s'est déclenché en même temps qu'une alerte Avast (qui ne cessait d'afficher des fenêtres pour signaler qu'un virus avait été détecté et qu'il avait été mis en quarantaine) mais c'est peut-être autre chose. En tout cas, merci de m'avoir aidé à me débarrasser de toutes ces saletés qui squattait mon ordi et si vous avez des suggestions pour m'aider à résoudre ce souci, je suis toute ouïe ...

cosmido · Answer

..

Ben non sid, si le démarrage est lent ajouter à ça la détection d'Avast, c'est pas correct.

Relancer ZHPDiag pour un rapport complet.
Ont ne l'utilisera que pour des infection "promis".

sid · Answer

rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201003/cijS6LZgcI.txt

cosmido · Answer

..



Que des traces inactives à supprimer

Double cliquez sur l'icône ZHPFix.exe du Bureau.
• Cliquez sur le bouton [H].
• Copiez/collez les lignes suivantes dans la fenêtres de ZHPFix,
• Cliquez sur [OK]
• Cliquez sur [Tous] et sur [Nettoyer],

O64 - Services: CurCS - (.not file.) - Boonty Games (Boonty Games)  .(.Pas de propriétaire - Pas de description.) - LEGACY_BOONTY_GAMES 
O64 - Services: CurCS - (.not file.) - lac97inf (lac97inf)  .(.Pas de propriétaire - Pas de description.) - LEGACY_LAC97INF 

&#9658; S'il vous ait proposé de redémarrer le PC, faites le

&#9658; Copiez/collez le rapport dans votre prochaine réponse.
_________________________________________________________

Vous n'avez pas fait les mises à jours logiciels
C'est important.

Puisqu'Adobe semble à jours.
Avec ça, faite "au moins" la m-à-j de Java et supprimez (avec l'outil) ses 4-5 anciennes versions qui sont installées.
_________________________________________________________


&#9658; Postez le rapport d'Avast pour vérifier ce qu'il a détecté.

_________________________________________________________

Si le ralentissement est y toujours.

Ouvrez l'observateur d'évènement.
• Démarrer > Exécuter (Rechercher Vista) entrez Eventvwr.msc et valider
• Allez vérifier dans "Application" et/ou "Système",
• Recherchez des erreur critique (bulle rouge) récentes,
• Accédez à l’info d’une erreur par un double-clique sur sa ligne,

&#9658; Postez de telle(s) erreur dans un message.

sid · Answer

voilà le rapport : 

ZHPFix v1.12.307  by Nicolas Coolman - Rapport de suppression du 04/03/2010 12:03:57
Fichier d'export Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0


End of the scan



ça a ouvert 2 fenêtre qui disaient : PROCESUS:++LEGACY_BOONTY_GAMES++ et PROCESUS:++LEGACY_LAC97INF++

cosmido · Answer

..

ZHPFix n'a pas du les traitée, tout comme la première fois que je les avaient placées.
Pour faire leurs suppressions dans le registre, des autorisations, à ces endroits spécifiques, ont besoin d'être changées. Ce que ZHPFix ne doit pas faire. Avec pour résultat que leurs suppression n'est pas appliquées. Pas grave puisque ne sont que des traces.

sid · Answer

Il n'y a aucun rapports affichés dans l'onglet rapport de scans d'avast ...


erreurs dans système : 

Type de l'événement :	Erreur
Source de l'événement :	Service Control Manager
Catégorie de l'événement :	Aucun
ID de l'événement :	7011
Date :		04/03/2010
Heure :		13:56:12
Utilisateur :	N/A
Ordinateur :	NOM-551889EB9E5
Description :
Délai (30000 millisecondes) d'attente pour une réponse du service NVSvc à une transaction.

Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
cette erreur apparait plusieurs fois depuis le 3 mars à 17h58 et se répète parfois avec un délai de 30 secondes.



Type de l'événement :	Informations
Source de l'événement :	Service Control Manager
Catégorie de l'événement :	Aucun
ID de l'événement :	7036
Date :		03/03/2010
Heure :		14:58:37
Utilisateur :	N/A
Ordinateur :	NOM-551889EB9E5
Description :
Le service HTTP SSL est entré dans l'état : en cours d'exécution.

Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.


2X
Type de l'événement :	Erreur
Source de l'événement :	Service Control Manager
Catégorie de l'événement :	Aucun
ID de l'événement :	7000
Date :		02/03/2010
Heure :		20:20:35
Utilisateur :	N/A
Ordinateur :	NOM-551889EB9E5
Description :
Le service Windows Driver Foundation - User-mode Driver Framework Reflector n'a pas pu démarrer en raison de l'erreur : 
Le fichier spécifié est introuvable. 

Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.


Type de l'événement :	Erreur
Source de l'événement :	Service Control Manager
Catégorie de l'événement :	Aucun
ID de l'événement :	7000
Date :		02/03/2010
Heure :		20:20:34
Utilisateur :	N/A
Ordinateur :	NOM-551889EB9E5
Description :
Le service Codec Teletext standard n'a pas pu démarrer en raison de l'erreur : 
Le fichier spécifié est introuvable. 

Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.

la même erreur avec différents services : - Pilote de scanneur USB
                                                                       - classe d'imprimante USB Microsoft
                                                                       - Synthétiseur de table de sons GC noyau Microsoft
                                                                       - BDA IPSink
                                                                       - etc, ...




erreurs dans application : 

Type de l'événement :	Erreur
Source de l'événement :	Application Error
Catégorie de l'événement :	Aucun
ID de l'événement :	1000
Date :		03/03/2010
Heure :		17:02:38
Utilisateur :	N/A
Ordinateur :	NOM-551889EB9E5
Description :
Application défaillante javara.exe, version 1.15.0.1745, module défaillant ntdll.dll, version 5.1.2600.5755, adresse de défaillance 0x0000100b.

Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
Données :
0000: 41 70 70 6c 69 63 61 74   Applicat
0008: 69 6f 6e 20 46 61 69 6c   ion Fail
0010: 75 72 65 20 20 6a 61 76   ure  jav
0018: 61 72 61 2e 65 78 65 20   ara.exe 
0020: 31 2e 31 35 2e 30 2e 31   1.15.0.1
0028: 37 34 35 20 69 6e 20 6e   745 in n
0030: 74 64 6c 6c 2e 64 6c 6c   tdll.dll
0038: 20 35 2e 31 2e 32 36 30    5.1.260
0040: 30 2e 35 37 35 35 20 61   0.5755 a
0048: 74 20 6f 66 66 73 65 74   t offset
0050: 20 30 30 30 30 31 30 30    0000100
0058: 62 0d 0a                  b..     


2X
Type de l'événement :	Erreur
Source de l'événement :	Application Hang
Catégorie de l'événement :	(101)
ID de l'événement :	1002
Date :		03/03/2010
Heure :		13:40:18
Utilisateur :	N/A
Ordinateur :	NOM-551889EB9E5
Description :
Application bloquée firefox.exe, version 1.9.2.3667, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
Données :
0000: 41 70 70 6c 69 63 61 74   Applicat
0008: 69 6f 6e 20 48 61 6e 67   ion Hang
0010: 20 20 66 69 72 65 66 6f     firefo
0018: 78 2e 65 78 65 20 31 2e   x.exe 1.
0020: 39 2e 32 2e 33 36 36 37   9.2.3667
0028: 20 69 6e 20 68 75 6e 67    in hung
0030: 61 70 70 20 30 2e 30 2e   app 0.0.
0038: 30 2e 30 20 61 74 20 6f   0.0 at o
0040: 66 66 73 65 74 20 30 30   ffset 00
0048: 30 30 30 30 30 30         000000

cosmido · Answer

..

Dans les erreurs Système, quelle sont les erreurs qui sont critiques (avec bulle rouge).
Parce que dans ceux montrées, y en a quelques une qui ne semblent pas très critiques.

____________________________________

Bon, en attendant remettez ceci dans le registre : 

• Aller dans Démarrer &#8594;  Tout les programmes &#8594;  Accessoires ..
• Ouvrez l'invité de commandes,
• Copier/coller(par un clic-droit) la commande suivante et valider : 


Reg Add "HKLM\Software\microsoft\Windows\CurrentVersion\Run" /v NvCplDaemon /t REG_SZ /d "C:\WINDOWS\system32\NvCpl.dll" /f 

>>>>>> Et redémarrer le PC.

sid · Answer

elles avaient pourtant toutes une bulle rouge ...

sid · Answer

ça bloque toujours au démarrage.

cosmido · Answer

.. Commencez par réajuster les quelques services de Windows qui en ont besoins. Plusieurs, inutiles ou à risque, pourront par la même occasion être Désactivés. • Dans Menu Démarrer → Exécuter.., entrez services.msc et valider. • Double-cliquer sur les services pour accéder à leurs panneau de paramétrages. • Et vérifier les, selon le tuto, pour modifier leurs "Type de démarrage" → en conséquence. • Tuto de config. • Préférable de faire un point de restauration avant de procéder. Même si chaque modif. est valable, au nombre s'il y a erreur(s). _______________________________________________________ Ouvrez Hijackthis • Appuyer sur [View the list of backUps] Ne les restaurer pas. Élargissez la fenêtre de Hijakcthis au maximum du bureau, pour que le max. d'info des lignes. Ensuite placer l'image de toutes ces lignes "pour vérification" dans un message suivant. Comment placer une image. • Faites un clic sur le cadre de la fenêtre à copier (pour ne sélectionner que cette fenêtre) • Appuyer sur et (la fenêtre est en mémoire), • Ouvrez l'application Paint (Démarrer → Tout les programmes → Accessoires ..) ou autre, • Sélectionner Édition → Coller. • Sauvegarder sur le bureau sous l'extension .PNG • Aller (Rechercher) sur hébergeur d'image genre ceux-ci ou le vôtre. • Appuyer sur [Parcourrir] et aller chercher l'image à son emplacement sur le disque. • En suite appuyer sur [Uploader l'image] ou [Envoyer] >> plusieurs lien seront générés. >> Testez les avant de le placer dans le message. << Que (http//.........................png) est nécessaire. • Placer l'image dans un message suivant.

cosmido · Answer

..

Aussi, si par blocage, vous faites toujours référence au problème initial,.
Soit le problème avec la barre de tâche.

Utilisez ceci pour fixer ça !?

sid · Answer

http://www.hostingpics.net/viewer.php?id=294451capture_ecran_HiJackThis.png

sid · Answer

concernant le petit logiciel qui répare la barre de tâche, je l'avais déjà téléchargé mais je ne savais pas trop quoi sélectionner dans le menu déroulant. De plus, je me suis aperçue que ce n'était pas uniquement la barre de tâche qui se bloquait mais que je ne pouvait pas non plus lancer le moindre logiciel ou ouvrir des dossiers autres que ceux qui sont sur le bureau. Seuls firefox et thunderbird semblent fonctionner correctement ...

sid · Answer

Au fait, quand je démarre l'ordi, au moment où le bureau s'affiche, il y a une message qui s'affiche "erreur de chargement de C:\WINDOWS\system32\NvCpl.dll    le module spécifié est introuvable mais ça n'a pas l'air d'avoir de conséquence.

cosmido · Answer

..

La commande Reg add .. du message #27 a pour but de remettre "NvCpl.dll" dans le point de chargement du registre. Soit où cette ligne était avant d'être supprimée avec Hijkacthis(ça fait peut-être des 100aines de fois que je fais supprimer cette ligne sans problème ?). Pour que NvCpl.dll soit lancé au démarrage du PC, comme il l'était avant que je vous le fasse supprimer du registre.

Sauf que si vous l'avez déjà replacé dans le registre avec la commande.
Et que ce message d'erreur survient toujours. Ce qui doit être vérifier. C'est la présence du fichier NvCpl.dll qui doit être dans le rép. C:\WINDOWS\system32\.. lorsqu'il est appelé du registre.

He.. oups,,
En écrivant ces lignes je viens de remarqué que la ligne devrait plutôt être ;
"C:\WINDOWS\system32\NvCpl.dll,NvStartup" .. au lieu de ..->.. "C:\WINDOWS\system32\NvCpl.dll"

Alors faites sur ceci ;     -->   manip en image
Relancer Hijackthis et sélectionnez [Do a system scan only]
et aller cocher et [Fix Checked] cette ligne :
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll

Ensuite relancez Hijakcthis et sélectionnez [View the list of backups]
Cochez cette ligne et appuyer sur [Restore]  <- à droite
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup


____________________________________________________________
Nous reprendrons avec la suite. Après avoir remis cette ligne et constater que l'ereur NvCpl est réglée.

sid · Answer

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll  n'est pas dans la liste quend je clique sur [Do a system scan only] mais pour le reste, c'est fait.

cosmido · Answer

..

Si la ligne contenant ....NvCpl.dll n'était pas dans la liste de [Do a system scan only]
C'est que vous n'aviez pas fait la commande Reg Add .... du message #27 pour la remettre dans le registre.

Et quand vous dites, le reste est fait.
C'est que vous avez [Restoré] ;
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

Et .......les messages d'erreurs concernant cette .dll ce sont arrêtés  !?

sid · Answer

j'ai refait la commande reg add mais il n'est toujours pas dans la liste. par contre, plus de message d'erreur au démarrage !

cosmido · Answer

.. Pour vérifier tout ça. Télécharger RSIT << (de random/random) • Double cliquez sur RSIT.exe, • Appuyez sur [Continue] à l'écran « Disclaimer », • Si Hijackthis n’est pas installé, RSIT le téléchargera → acceptez la licence, >> les rapport Log.txt va s'ouvrir à l'écran.. >> l'autre rapport, info.txt sera disponible dans C:\Rsit\.. Utilisez le site CJoint, pour convertir ces rapports "volumineux" en page Web. • Aller sur le site CJoint, • Appuyez sur [Parcourir] et aller chercher le rapport C:\Rsit\Log.txt • Ensuite appuyez sur [Créer le lien CJoint], >> dans la page suivante → une adresse http//...... sera créé,, ► Postez cette adresse dans votre prochain message.

sid · Answer

http://cjoint.com/data/dfnhtNjxAn.htm

cosmido · Answer

..

Vous venez tout juste de d'installer une toolbar dangereuse ?

Téléchargez sur votre bureau Ad-Remover (de C_XX)

/|\ Désactiver l'antivirus. /|\

• Lancez AD-R.exe,
• Sélectionner la langue,  F et validez par Entrée,
• Déconnectez-vous, quittez les applications ouvertes
• Sélectionner l'option [L. Lancer le nettoyage]

>> Laisser le aller,

• Après le scan, appuyez sur une touche pour ouvrir le rapport..
&#9658; Postez le rapport  (C:\Ad-Report-Clean.log).

/|\  Réactiver l'antivirus. /|\

P.S.: 
La très grande majorité des infections proviennent de téléchargement d'installateurs de logiciels fait par l'utilisateur.
Le minimum de précaution est de d'abord scanner ces téléchargements avant de lancer leurs déploiement dans le système !
Pour ce, il y a toujours l'antivirus de service et autre logiciel de protection local. 
Y a aussi Virus Total qui propose de scanner UN fichier suspect avec + d'une 30aines d'antivirus

À propos de toolbar à risque ou légitime.
Ces objets sont fréquemment installés, avec leurs options cochées "par défauts" à installation de logiciels tiers.
Qu'ils soient à risque ça va de soit. 
Mais même légitime tels que les Google, Yahoo .., 
Considérant qu'ils ne sont jamais utilisées et qu'ils prennent en ressources. Éviter de les installer.

_______________________________________________________

Traces inactive d'infection à supprimer.

• Aller dans Démarrer &#8594;  Tout les programmes &#8594;  Accessoires ..
• Ouvrez l'invité de commandes,
• Copier/coller(par un clic-droit) les commandes suivantes et valider pour chacune : 

Reg delete "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys" /f
Reg delete "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\TDSSserv.sys" /f
sc delete Boonty Games

&#9658; Relancer Rsit et postez un nouveau rapport Log.txt

sid · Answer

pour sc delete Boonty Games , ça me dit que le service spécifié n'existe pas en tant que service installé


et il y a à nouveau le message d'erreur au démarrage ...


rapport Ad-Remover : 

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 13:48:52, 05/03/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: NOM-551889EB9E5 | Utilisateur actuel: sdfggg
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE} 
C:\DOCUME~1\sdfggg\LOCALS~1\Temp\AskSearch 
C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job 
C:\Program Files\Ask.com 

(!) -- Fichiers temporaires supprimés.
 
.
HKCU\software\appdatalow\AskToolbarInfo
HKCU\software\Ask.com
HKCU\software\AskToolbar
HKCU\software\LanConfig
HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383} 
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{3041D03E-FD4B-44E0-B742-2D9B88305F98} 
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{00000000-6E41-4FD3-8538-502F5495E5FC} 
HKLM\software\AskBarDis
HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
HKLM\software\classes\appid\GenericAskToolbar.DLL
HKLM\software\classes\AskToolBar.SettingsPlugin
HKLM\software\classes\AskToolBar.SettingsPlugin.1
HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\software\classes\GenericAskToolbar.ToolbarWnd
HKLM\software\classes\GenericAskToolbar.ToolbarWnd.1
HKLM\software\classes\installer\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{D4027C7F-154A-4066-A1AD-4243D8127440} 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\software\microsoft\windows\currentversion\uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.6 [fr] *
.
 Nom du profil: msnn4sd8.default (sdfggg)
.
(sdfggg, prefs.js) Browser.download.lastDir, C:\Documents and Settings\sdfggg\Bureau
(sdfggg, prefs.js) Browser.search.selectedEngine, Google
(sdfggg, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr-FR:official
(sdfggg, prefs.js) Keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA2&q=
. 
.
* Internet Explorer Version 6.0.2900.5512 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1 (0x1)
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
6813 Octet(s) - C:\Ad-Report-CLEAN[1].log 
3759 Octet(s) - C:\Ad-Report-SCAN[1].log 
.
508 Fichier(s) - C:\DOCUME~1\sdfggg\LOCALS~1\Temp 
6 Fichier(s) - C:\WINDOWS\Temp 
10 Fichier(s) - C:\WINDOWS\Prefetch 
.
18 Fichier(s) - C:\Ad-Remover\BACKUP
11 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 14:14:49 | 05/03/2010 - CLEAN[1]
.
============== E.O.F ==============
.

sid · Answer

http://cjoint.com/data/dfoITKBt7E.htm

cosmido · Answer

..

Refaites la commande sc comme ceci (ça devrait donner un résultat avec les "") ;
sc delete "Boonty Games"

Je vérifie le rapport.......

cosmido · Answer

..

Le rapport est correct !

Je favoriserais un bon parefeux en résident.

Si votre RAM vous permet de garder TheCleaner en place, good !

Sinon, favorisez un parefeux logiciel, en désactivant la protection résidente de TheCleaner. 
Pour ne l'utiliser, que pour un scan au besoin. Une mise à jours devrait alors être faites au préalable.
Bien qu'il est bonne réputation, Malwarebytes serait possiblement, plus efficace.

cosmido · Answer

..

Oups.., des fois en ce relisant..

Est-ce que vous avez bien écrit ....le même message d'erreur au démarrage est réapparu ?
ÉLAborez sur le message .....codes d'erreur s'ils y en a, fichier impliqué etc
Est-ce celui en rapport NvCpl.dll ou .............

sid · Answer

c'est bien le même message : erreur de chargement de C:\WINDOWS\system32\NvCpl.dll le module spécifié est introuvable

cosmido · Answer

..

Vérifier dans Hijacktjhis -> [Do a system scan only]

.. Sa ligne y est-elle 
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

Et le fichier  NvCpl.dll est bien présent dans C:\WINDOWS\system32\..

sid · Answer

en téléchargeant le pare-feu, il était conseillé de télécharger ausi PC Tools Spyware Doctor, ce que j'ai fait. Celui-ci s'est déclenché au démarrage pour scanner mon PC et a affiché ça : http://www.hostingpics.net/viewer.php?id=444758spyware_doctor_1.png ... comme j'avais un peu envie de les supprimer, j'ai cliqué sur réparation vérifiée mais le logiciel m'a affiché ceci : http://www.hostingpics.net/viewer.php?id=824794spyware_doctor_2.png ... j'ai lancé Malwarebytes qui n'a rien détecté ... une suggestion ?

sid · Answer

dans Hijacktjhi, la ligne O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
 est bien présente mais le fichier NvCpl.dll n'est pas dans C:\WINDOWS\system32\..

cosmido · Answer

..

Lors de l'installation d'un logiciel.
Il y a souvent des options proposées pour installer des logiciels tiers. Décochez de telles options, ..refuser ça. Au pire vous viendrez d'éviter une toolbar dangereuses. Et au mieux d'installer quelque chose qui ne vous sera d'aucune utilité.

___________________________________________________________

Bizarre que NvCpl.dll ne soit plus dans \System32\ 
Avez vous vérifier avec les fichiers affichés ..peut-être que ?

Sinon ont a fait aucune manip. pour le supprimer.
Les commandes Reg Delete, Red add et hijakcthis en rapport à ce fichier ne s'appliquaient qu'au registre.
Ad-Remover ne l'a pas touché, anyway y a pas d'affaire à ça non plus.

Si même avec les fichiers cachés ..affichés, il y est pas. 
Alors réinstaller le pilote de la carte graphique NVidia.

Si nécessaire télécharger le  et cliquer sur :  Option 2: Automatically find drivers for my NVIDIA products. 
P.S.: lors de l'installation, s'il y a une option (peut-être cochée par défaut ?) pour installer ForceWave ou quelque chose comme ça. Décochez ça, ne l'installer pas.

sid · Answer

j'ai réinstallé le pilote et c'est bon, pas de message d'erreur au démarrage !

Barre de tâche et menu démarrer bloqués

52 réponses