rapport HijackThis ( pc qui rame ) Fermé

Question

Bonjour, mon pc rame beaucoup , voyez-vous quelque chose de louche dans mon rapport HijackThis?
merci d'avance.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:02, on 2010-07-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lxdncoms.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\outils desinfection\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar	oolband.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\styler\TB\StylerTB.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar	oolband.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Options RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComOptions.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Unibet - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\system32\shdocvw.dll (HKCU)
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader5.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lxdnCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdnserv.exe
O23 - Service: lxdn_device -   - C:\WINDOWS\system32\lxdncoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

sissi-13 · Answer

s'il vous plait ^^

alhuno1 · Answer

RAS dans HJT.

Télécharge et installe ZHPDiag
>ici< 

Installe-le avec les paramêtres par défaut.

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau 
(Clique droit -> Executer en tant qu'administrateur pour Vista et 7 ) 

Au menu principal, cliquer sur la loupe dans le panneau en haut.

Une fois le scan terminé, clique sur l'icône en forme de disquette.
Enregistre-le sur ton Bureau.

Rend toi sur Cjoint 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPDiag.txt qui se trouve sur ton Bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

sissi-13 · Answer

merci pour ta reponse.
oups le lien ne fonctionne plus pour le telechargement, est ce que je peux le trouver ailleurs?

alhuno1 · Answer

Ici.

sissi-13 · Answer

et voila c'est fait merci 

https://www.cjoint.com/?hjcwopqANO

alhuno1 · Answer

Tu as une vieille version d'AD-Remover. On va télécharger la nouvelle.
On en aura besoin.

Télécharge Ad-Remover
>ici<

Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement. 

Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur" 

Au menu principal choisi l'option "Recherche."

Laisse travailler l'outil et ne touche à rien ... 

Poste le rapport qui apparait à la fin. 


( le rapport est sauvegardé aussi sous C:\Ad-report.log ) 

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Process.exe, une composante de l'outil, est détecté par plusieurs antivirus comme un RiskTool.
Ce fichier permet de fermer des processus actifs.
Si il est détecté, ignore et continue la procédure.

Ne l'oubliez pas: Google est votre ami. Morale de l'histoire: Réfléchissez avant de poster. 
Et mettez résolu quand ça l'est.

sissi-13 · Answer

et voila

======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 17:36:46 le 09/07/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 2 (X86) 
Administrateur@7775161E5F52443 ( ) 
 
============== RECHERCHE ==============


0,Dossier trouvé: C:\Documents and Settings\All Users\Application Data\Trymedia

-- Fichier ouvert: C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\p0piqb20.default\Prefs.js --
Ligne trouvée: user_pref("extensions.snipit.askTbInstalled", true); 
-- Fichier Fermé --
 

0,Clé trouvée: HKCU\Software\PopCap


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.3 (fr)] **

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\p0piqb20.default\Prefs.js --
browser.download.dir, C:\Documents and Settings\Administrateur\Mes documents
browser.download.lastDir, C:\Documents and Settings\Administrateur\Bureau
browser.search.defaultenginename, Bing
browser.search.defaulturl, hxxp://www.bing.com/search?FORM=DCF3DF&PC=DCF3&q=
browser.search.selectedEngine, Google
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://www.bing.com/search?FORM=DCF3DF&PC=DCF3&q=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 09/07/2010 (906 Octet(s)) 

Fin à: 17:41:46, 09/07/2010 
 
============== E.O.F ==============

alhuno1 · Answer

Fsais l'option Nettoyer d'AD-R et poste le rapport.

Lance ZHPFix depuis le racourci sur ton Bureau.

Au menu principal, clique sur le H bleu.

Dans l'encadré, entre:

O42 - Logiciel: Search Settings 1.2 - (.Pas de propriétaire.) [HKLM]

Clique mantenant sur Tous puis sur Nettoyer.

Après le scan, un rapport sera généré.
Il se trouve ici: %programFiles%\ZHPDiag\ZHPFixReport.txt

Poste-le ici.

sissi-13 · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:58:03 le 09/07/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 2 (X86) 
Administrateur@7775161E5F52443 ( ) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Trymedia

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\p0piqb20.default\Prefs.js --
Ligne supprimée: user_pref("extensions.snipit.askTbInstalled", true); 
-- Fichier Fermé --
 

0,Clé supprimée: HKCU\Software\PopCap


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.3 (fr)] **

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\p0piqb20.default\Prefs.js --
browser.download.dir, C:\Documents and Settings\Administrateur\Mes documents
browser.download.lastDir, C:\Documents and Settings\Administrateur\Bureau
browser.search.defaultenginename, Bing
browser.search.defaulturl, hxxp://www.bing.com/search?FORM=DCF3DF&PC=DCF3&q=
browser.search.selectedEngine, Google
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://www.bing.com/search?FORM=DCF3DF&PC=DCF3&q=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 09/07/2010 (818 Octet(s)) 

Fin à: 19:00:08, 09/07/2010 
 
============== E.O.F ==============

sissi-13 · Answer

Rapport de ZHPFix v1.12.3118 par Nicolas Coolman, Update du 07/07/2010
Fichier d'export Registre : 
Run by Administrateur at 2010-07-09 20:13:36
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr


========== Récapitulatif ==========


End of the scan

alhuno1 · Answer

T'as rien entré dans ZHPFix.
Recommence.

sissi-13 · Answer

vraiment désolée.
voila j'ai refait mais j'ai le message suivant.

http://www.hpics.li/640c6

alhuno1 · Answer

Bizarre.....
Le pack de désinstallation dans C;\WINDOWS\Installer n'est peut-être plus là.
Utilise un désinstalleur comme Revo Unistaller et vire Search Settings.

Encore de la lenteur?
Car sinon le PC est relativement sain.

sissi-13 · Answer

mince impossible même avec  revo unistaller 
le pc rame beaucoup moins en tout cas

alhuno1 · Answer

Je m'en doutais.   

Certains programmes, comme Search Settings, Java ou MSOffice n'ont pas de désinstalleur. Vu qu'ils uilisent Windows Installer, ils logent un pack ''tout en un'' dans un dossier caché nommé Installer dans les fichiers système.   
Leur nom ressemble à un truc du genre ma326.msi.   
Même chose pour InstallShield, un équivalent de Windows Installer, qui logent les package d'installation dans un dossier nommé InstallShield Informaion sous le nom setup.exe.

D'autres programmes indépendents de Windows Installer utilisent un désinstalleur nommé uninst.exe.
Ces packs sont acompagnés d'un fichier uninst.dat qui permet justement de retrouver ses fichiers.

Dans ton cas, je crois que ton ancien AD-R avait viré le package.   
Va dans C:\AD-Remover\Backup et cherche les fichiers avec l'extension MSI ou MSP.   
Ouvre une invites de commandes (cmd.exe) et entre:   

copy C:\Ad-Remover\backup\*.msi C:\WINDOWS\Installer   
copy C:\Ad-Remover\backup\*.msp C:\WINDOWS\Installer    

Essaie de redésinstaller Search Settings via ZHPFix après. (voir plus haut) 
   
Ensuite refais AD-R option Nettoyer pour virer les fichier copiés plus tôt   
Ne l'oubliez pas: Google est votre ami. Morale de l'histoire: Réfléchissez avant de poster.   
Et mettez résolu quand ça l'est.

sissi-13 · Answer

aïe ! curieusement je n'ai pas de fichiers avec cet extension
est-ce que je peux quand même aller dans l'invite de commande?
si oui je copie en integralité les 2 lignes en gras et je valide par la suite?

Rapport HijackThis ( pc qui rame )

16 réponses

Newsletters