Sujet Précédent Sujet Suivant

Lenteur au démarrage de windows XP SP3

Fermé
De Hervé COTE - 6 mars 2011 à 10:24
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 - 7 mars 2011 à 21:48
Bonjour,

Depuis quelques mois mon pc rame énormément au démarrage de Windows, à tel point que l'écran s'éteint puis se rallume avant d'arriver à la page d'accueil de Windows pour choisir le compte utilisateur. Quelqu'un peut-il m'indiquer si ce rapport HijackThis montre un quelconque symptôme de virus. D'autre part, le PC est très souvent à 100% d'utilisation CPU.

Merci pour votre aide.



Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:12:03, on 06/03/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CheckPoint\SSL Network Extender\slimsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.myheritage.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/ServicesAcces.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
O4 - HKLM\..\Run: [DLBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {C1F8FC10-E5DB-4112-9DBF-6C3FF728D4E3} (DellSystemLite.Scanner) - http://support.euro.dell.com/systemprofiler/DellSystemLite.CAB
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Check Point SSL Network Extender (cpextender) - Check Point Software Technologies - C:\Program Files\CheckPoint\SSL Network Extender\slimsvc.exe
O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service Google Update (gupdate1c9ce0d35d09f72) (gupdate1c9ce0d35d09f72) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
A voir également:

5 réponses

Réponse 1 / 5
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
6 mars 2011 à 11:01
bonjour

pas grand chose dans hijackthis. fais plutôt celui-ci

● Télécharges ZHPDiag ( de Nicolas Coolman ). ==> outil de diagnostique

ou http://www.premiumorange.com/zeb-help-process/zhpdiag.html ==> en bas de page


/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'administrateur /!\

● Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )

● Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau

● Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.

● Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.

● Rends toi sur pjjoint.malekal.com

● Cliques sur " Parcourir "

● Sélectionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

● Clique ensuite sur "envoyer le fichier " et copie/colle le lien dans ton prochain message

==> autre site d'hébergement :

ci-joint
too-files

0
De Hervé COTE
6 mars 2011 à 19:22
Merci pour cette aide ... voici comme demandé le lien pour aller consulter le fichier ZhpDiag de mon PC ... https://pjjoint.malekal.com/files.php?id=0b61a67f61713 ...

Dans l'attente de tes commentaires avisés ..

A+
0
Réponse 2 / 5
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
6 mars 2011 à 19:33
re

quelques infections. Fait dans cet ordre

● Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX)

Déconnecte toi et ferme toutes les applications en cours

● Double-clique sur l'icône AD-Remover
Vista ou windows 7 => clic droit "executer en tant que...."
● Au menu principal, clique sur "Nettoyer"
● Confirme le lancement de l'analyse et laisse l'outil travailler
● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


<gras<Note :</gras> Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. els de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

*************************

Utilise ce logiciel de désinfection généraliste stp :

● Télécharges Malwarebytes

(NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici :
https://www.malekal.com/tutorial-aboutbuster/

● Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.

● Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

● Lance une analyse complète en cliquant sur "Exécuter un examen complet"

● Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

L'analyse peut durer un bon moment.....

● Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

● Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

● Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

● Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée


Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.
MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.

************************

refais un nouveau scan zhpdiag

clique sur la flèche verte en haut de sa page pour lancer une mise à jour, si ton parfeu demande l'autorisation, accepte le.

● Rends toi sur http://www.cijoint.fr/

● Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "

● Sélectionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

● Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
0
De Hervé COTE
6 mars 2011 à 21:27
Hello voici le résultat de AD_REMOVER ... je lance malwarebyte puis zhpdiag à nouveau que je posterai sur cijoint.fr

A+

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:14:54 le 06/03/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Hervé@MABECANE ( )

============== ACTION(S) ==============

Service: "ASKService" Stoppé et supprimé
Service: "ASKUpgrade" Stoppé et supprimé

Dossier supprimé: C:\Documents and Settings\Hervé\Application Data\Mozilla\FireFox\Profiles\25mvvcek.default\conduit
Fichier supprimé: C:\Documents and Settings\Hervé\Application Data\Mozilla\FireFox\Profiles\25mvvcek.default\searchplugins\conduit.xml
Dossier supprimé: C:\Program Files\AskBarDis
Dossier supprimé: C:\Documents and Settings\Hervé\Application Data\OfferBox

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Hervé\Application Data\Mozilla\FireFox\Profiles\25mvvcek.default\Prefs.js --
Ligne supprimée: user_pref("CT2504091.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
Ligne supprimée: user_pref("CT2504091.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT250...
Ligne supprimée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr...
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList", "CT2504091");
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList2", "CT2504091");
Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoInterval", 60);
Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Sat Jan 15 2011 18:38:04 GMT+0100");
Ligne supprimée: user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
Ligne supprimée: user_pref("CommunityToolbar.alert.locale", "en");
Ligne supprimée: user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);
Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastCheckTime", "Sat Jan 15 2011 18:38:00 GMT+0100");
Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1291052234");
Ligne supprimée: user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
Ligne supprimée: user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
Ligne supprimée: user_pref("CommunityToolbar.alert.showTrayIcon", false);
Ligne supprimée: user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
Ligne supprimée: user_pref("CommunityToolbar.alert.userId", "{b830cdd4-ba20-46c9-aa24-5018e2f42451}");
Ligne supprimée: user_pref("browser.search.defaultenginename", "Fast Browser Search");
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2297721&Sea...
Ligne supprimée: user_pref("browser.search.order.1", "Fast Browser Search");
Ligne supprimée: user_pref("family_toolbar.Var1", "%26todaySortedDate%3D200908240%26lastRefreshTime%3D11%3A54");
Ligne supprimée: user_pref("family_toolbar.Var10", "0");
Ligne supprimée: user_pref("family_toolbar.Var2", "FR");
Ligne supprimée: user_pref("family_toolbar.Var3", "0");
Ligne supprimée: user_pref("family_toolbar.Var4", "Yes");
Ligne supprimée: user_pref("family_toolbar.Var5", "1");
Ligne supprimée: user_pref("family_toolbar.Var6", "Yes");
Ligne supprimée: user_pref("family_toolbar.Var7", "1.288");
Ligne supprimée: user_pref("family_toolbar.Var8", "FF11-54-23-797");
Ligne supprimée: user_pref("family_toolbar.Var9", "0");
Ligne supprimée: user_pref("family_toolbar.cache.tbs_include_xml_008658", "54/11/24/7/109");
Ligne supprimée: user_pref("family_toolbar.firstlaunch", "0");
Ligne supprimée: user_pref("family_toolbar.guid", "%7B33ABF5DC-D28A-ABEB-318C-14A7B65860FA%7D");
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
Clé supprimée: HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
Clé supprimée: HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
Clé supprimée: HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin
Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKLM\Software\AskBarDis
Clé supprimée: HKLM\Software\AppDataLow\AskBarDis
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BDF13059-6074-4169-B75B-6BE0B0AE0954}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.15 (fr)] ****

Plugins\npDivxPlayerPlugin.dll (DivX, Inc)

-- C:\Documents and Settings\Hervé\Application Data\Mozilla\FireFox\Profiles\25mvvcek.default --
Prefs.js - browser.download.dir, C:\\MesDownLoad
Prefs.js - browser.download.lastDir, C:
Prefs.js - browser.startup.homepage,
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.15
Prefs.js - privacy.popups.showBrowserMessage, false

-- C:\Documents and Settings\Salomé\Application Data\Mozilla\FireFox\Profiles\lxw6dutj.default --
Prefs.js - browser.download.dir, C:\\MesDownLoad
Prefs.js - browser.download.lastDir, D:\\Salome Boulot
Prefs.js - browser.search.defaultenginename, Live Search
Prefs.js - browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, hxxp://go.microsoft.com/fwlink/?LinkId=69157
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13
Prefs.js - keyword.URL, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

========================================

**** Internet Explorer Version [6.0.2900.5512] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E} - "Chercher" (hxxp://search.myheritage.com?orig=ds&q={searchTerms})
HKLM_SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E} - "Chercher" (hxxp://search.myheritage.com?orig=ds&q={searchTerms})
HKCU_Toolbar\WebBrowser|{FD2FD708-1F6F-4B68-B141-C5778F0C19BB} (x)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{201f27d4-3704-41d6-89c1-aa35e39143ed} (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 28 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 06/03/2011 21:15:22 (8367 Octet(s))

Fin à: 21:16:19, 06/03/2011

============== E.O.F ==============
0
Réponse 3 / 5
De Hervé COTE
6 mars 2011 à 21:42
ET voici le lien pour le dernier zhpdiag

http://www.cijoint.fr/cjlink.php?file=cj201103/cijy8hxTNO.txt

A+
0
Réponse 4 / 5
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
7 mars 2011 à 09:42
bonjour

1) relances ad-remover ==> désinstaller

2) poste-moi le rapport malwarebytes , dans l'onglet "rapport/log "

3) Utilisation de ZHPfix

*fais un copié des lignes en gras suivantes

----------------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
OPT:O4 - HKLM\..\Run: [tsnp2std] . (.Pas de propriétaire - tsnp2std Microsoft.) -- C:\WINDOWS\tsnp2std.exe => CameraMonitor®Application
OPT:O4 - HKLM\..\Run: [snp2std] . (.Sonix - CameraMonitor Application.) -- C:\WINDOWS\vsnp2std.exe => Sonix®CameraMonitor Application
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\rundll32.exe" [Enabled] Clé orpheline
O64 - Services: CurCS - (.not file.) - PRISMCM (PRISMCM) .(...) - LEGACY_PRISMCM
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} Clé orpheline
[HKCU\Software\MHToolbar]
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} Clé orpheline
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
O4 - HKLM\..\Run: [DLBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLBTtime.dll (.not file.)
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {C1F8FC10-E5DB-4112-9DBF-6C3FF728D4E3} (DellSystemLite.Scanner) - http://support.euro.dell.com/systemprofiler/DellSystemLite.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
emptytemp
emptyflash

----------------------------------------------------------
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Le texte que tu as copié sera présent
* Clique sur « Tous », puis sur « Nettoyer »

==> si tu reçois un message de confirmation de désinstallation de certains logiciels, accèpte le :-)

* Copie/colle la totalité du rapport dans ta prochaine réponse

4) désinstalles ces programmes , aucuns interets

Uniblue DriverScanner
Uniblue PowerSuite
Uniblue RegistryBooster
Uniblue SpeedUpMyPC

5) Suppression des fichiers inutiles

Télécharge CCleaner .
* Installe le puis lance le.
* va dans " options" ==> "avancés" et décoches " effacer uniquement ------24 heures"
* Clique sur Nettoyeur => Analyse => Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
* Enfin, clique sur Registre => corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois).

6) * Rends toi sur le site https://www.virustotal.com/gui/
* Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide :

C:\Documents and Settings\Hervé\Application Data\ezpinst.exe

* Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
* Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
* Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
* Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
* Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
0
De Hervé COTE
7 mars 2011 à 19:56
Salut,

MalwareByte ne détecte aucun virus, veux tu quand meme le log ?

voici le log du zhpfix ...

Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-07-03-2011-19-37-22.txt
Run by Hervé at 07/03/2011 19:37:22
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - PRISMCM (PRISMCM) .(...) - LEGACY_PRISMCM => Clé supprimée avec succès
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} Clé orpheline => Clé supprimée avec succès
HKCU\Software\MHToolbar => Clé supprimée avec succès
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline => Clé supprimée avec succès
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{01A88BB1-1174-41EC-ACCB-963509EAE56B}] => Clé supprimée avec succès
[HKCR\CLSID\{01A88BB1-1174-41EC-ACCB-963509EAE56B}] => Clé supprimée avec succès
O16 - DPF: {C1F8FC10-E5DB-4112-9DBF-6C3FF728D4E3} (DellSystemLite.Scanner) - http://support.euro.dell.com/systemprofiler/DellSystemLite.CAB => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{C1F8FC10-E5DB-4112-9DBF-6C3FF728D4E3}] => Clé supprimée avec succès
[HKCR\CLSID\{C1F8FC10-E5DB-4112-9DBF-6C3FF728D4E3}] => Clé supprimée avec succès
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [tsnp2std] . (.Pas de propriétaire - tsnp2std Microsoft.) -- C:\WINDOWS\tsnp2std.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [snp2std] . (.Sonix - CameraMonitor Application.) -- C:\WINDOWS\vsnp2std.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\rundll32.exe" [Enabled] Clé orpheline => Valeur supprimée avec succès
O4 - HKLM\..\Run: [DLBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLBTtime.dll (.not file.) => Valeur supprimée avec succès

========== Dossier(s) ==========
Dossiers Flash Cookies supprimés : 12

========== Fichier(s) ==========
Fichiers Flash Cookies supprimés : 6

========== Autre ==========
HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Format Non supporté


========== Récapitulatif ==========
11 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
1 : Autre


End of the scan

Et voici le log du ezpinst.exe

user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
ezpinst.exe
Submission date:
2011-03-07 18:51:24 (UTC)
Current status:
queued queued analysing finished
Result:
1/ 43 (2.3%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.03.07.06 2011.03.07 -
AntiVir 7.11.4.100 2011.03.07 -
Antiy-AVL 2.0.3.7 2011.03.06 -
Avast 4.8.1351.0 2011.03.07 -
Avast5 5.0.677.0 2011.03.07 -
AVG 10.0.0.1190 2011.03.07 -
BitDefender 7.2 2011.03.07 -
CAT-QuickHeal 11.00 2011.03.07 Trojan.Agent.gen
ClamAV 0.96.4.0 2011.03.07 -
Commtouch 5.2.11.5 2011.03.07 -
Comodo 7903 2011.03.07 -
DrWeb 5.0.2.03300 2011.03.07 -
Emsisoft 5.1.0.2 2011.03.07 -
eSafe 7.0.17.0 2011.03.06 -
eTrust-Vet 36.1.8198 2011.03.04 -
F-Prot 4.6.2.117 2011.03.07 -
F-Secure 9.0.16440.0 2011.03.07 -
Fortinet 4.2.254.0 2011.03.07 -
GData 21 2011.03.07 -
Ikarus T3.1.1.97.0 2011.03.07 -
Jiangmin 13.0.900 2011.03.07 -
K7AntiVirus 9.92.4048 2011.03.07 -
Kaspersky 7.0.0.125 2011.03.07 -
McAfee 5.400.0.1158 2011.03.07 -
McAfee-GW-Edition 2010.1C 2011.03.07 -
Microsoft 1.6603 2011.03.07 -
NOD32 5933 2011.03.07 -
Norman 6.07.03 2011.03.07 -
nProtect 2011-02-10.01 2011.02.15 -
Panda 10.0.3.5 2011.03.06 -
PCTools 7.0.3.5 2011.03.07 -
Prevx 3.0 2011.03.07 -
Rising 23.48.00.06 2011.03.07 -
Sophos 4.63.0 2011.03.07 -
SUPERAntiSpyware 4.40.0.1006 2011.03.07 -
Symantec 20101.3.0.103 2011.03.07 -
TheHacker 6.7.0.1.145 2011.03.06 -
TrendMicro 9.200.0.1012 2011.03.07 -
TrendMicro-HouseCall 9.200.0.1012 2011.03.07 -
VBA32 3.12.14.3 2011.03.04 -
VIPRE 8628 2011.03.07 -
ViRobot 2011.3.7.4345 2011.03.07 -
VirusBuster 13.6.239.0 2011.03.07 -
Additional information
Show all
MD5 : cda12f70283c1d0f08e5e729d8799a23
SHA1 : 82aea1da19b734ef9e8c6f9fc56e1c2325a2e288
SHA256: 622499137c93feeb4f09652d15e15b677c38de95e19031268fbbfcb117050bd3
ssdeep: 1536:VPNQm/DgTATpxgaNPsJ9fCSFXmVH1E37QgEAQtZ:vQwzrJPiFoKEgEAQtZ
File size : 81920 bytes
First seen: 2006-10-05 07:42:03
Last seen : 2011-03-07 18:51:24
TrID:
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x2277
timedatestamp....: 0x44A114A2 (Tue Jun 27 11:21:06 2006)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0xC1D4, 0xD000, 6.39, 8b23740868f02bb731a1556e3e89ec4b
.rdata, 0xE000, 0x25C2, 0x3000, 4.48, 1c4aa9b67a1e4fb62d587545d74e9148
.data, 0x11000, 0x2E48, 0x2000, 1.28, e79d5ce42e7132af5b6039889e4670ab
.rsrc, 0x14000, 0xB0, 0x1000, 3.06, cec9b95146f57b35474dc9da6c445146

[[ 6 import(s) ]]
newdev.dll: UpdateDriverForPlugAndPlayDevicesW
SETUPAPI.dll: SetupDiRemoveDevice, SetupDiCallClassInstaller, SetupDiSetDeviceRegistryPropertyW, SetupDiCreateDeviceInfoW, SetupDiCreateDeviceInfoList, SetupDiGetDeviceRegistryPropertyW, SetupDiOpenDeviceInfoW
KERNEL32.dll: HeapSize, ReadFile, SetEndOfFile, WriteConsoleW, CreateFileA, FormatMessageW, GetLastError, CloseHandle, GetCurrentProcess, GetPrivateProfileStringW, MultiByteToWideChar, LocalFree, GetModuleFileNameA, GetConsoleOutputCP, WriteConsoleA, LoadLibraryA, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, EnterCriticalSection, LeaveCriticalSection, RtlUnwind, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, GetProcAddress, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, ExitProcess, WriteFile, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, DeleteCriticalSection, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, VirtualAlloc, HeapReAlloc, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, Sleep, CreateFileW, InitializeCriticalSection, SetFilePointer, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA
ADVAPI32.dll: LookupPrivilegeValueA, AdjustTokenPrivileges, OpenProcessToken
SHELL32.dll: SHGetFolderPathW
ole32.dll: CLSIDFromString
ExifTool:
file metadata
CodeSize: 53248
EntryPoint: 0x2277
FileSize: 80 kB
FileType: Win32 EXE
ImageVersion: 0.0
InitializedDataSize: 24576
LinkerVersion: 8.0
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 4.0
PEType: PE32
Subsystem: Windows command line
SubsystemVersion: 4.0
TimeStamp: 2006:06:27 13:21:06+02:00
UninitializedDataSize: 0
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
7 mars 2011 à 21:48
salut

ok pour ezpinst.exe , 1/43 , je laisse comme ça

refais un nouveau scan zhpdiag

clique sur la flèche verte en haut de sa page pour lancer une mise à jour, si ton parfeu demande l'autorisation, accepte le.

● Rends toi sur http://www.cijoint.fr/

● Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "

● Sélectionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

● Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
0

Discussions similaires

pack 3 pour windows 7 avec système d'exploitation 64 bits
Amar SADOUN -
juju666 -

20 réponses