Paramètres personalisés effacés au démarrage Fermé

Question

Bonjour, 



Configuration: Windows Vista / Firefox 3.6.15

J'ai un soucis, mon pc portable ASUS met un sacré moment au démarrage, j'ai des tas de fenetres qui s'ouvrent et tous mes paramètres personnalisé: fond d'écran, favoris, naviguateur pas défaut, personnalisation du volet windows et de ma page d'accueil mozilla disparaissent et ça m'ouvre les paramètres de base je pense: fond d'écran vert, internet explorer comme naviguateur pas défaut etc etc... 

J'ai noté les differentes fenetres qui s'ouvre au démarrage: il y a tt d'abord Définition des paramètres personnalisés ( windows media microsoft, bureau windows, browser customisation)

Ensuite il y a la "fenetre d'accueil windows" qui reste ouverte...

Ayant déjà eu sur un autre pc des soucis d'infection par trojan, j'ai fait une analyse HiJack, voici le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:33:39, on 20/03/2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.19019)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe
C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ASUS Data Security Manager\ADSMTray.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\ASScrPro.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\oopmagent.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\WerCon.exe
C:\Users\TEMP\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tropal.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\ASUSTek\ASUSDVD\Language\Language.exe"
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"
O4 - HKLM\..\Run: [P2Go_Menu] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ADSMTray] C:\Program Files\ASUS\ASUS Data Security Manager\ADSMTray.exe
O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ooquickpdfv7] "C:\Windows\system32\oopmagent.exe"
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - Global Startup: Canon LBP5000 Fenêtre d'état.lnk = C:\Windows\System32\spool\drivers\w32x86\3\CNAC4LAK.EXE
O4 - Global Startup: FancyStart daemon.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OFFICE One Startup v7.lnk = C:\Program Files\OFFICE One v7\OFFICE One Startup v7\oostartupv7.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: ADSM Service (ADSMService) - ASUSTek Computer Inc. - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Norton Internet Security - Unknown owner - C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

jacques.gache · Answer

bonjour, je te propose de traiter ton pc avec ad-remover et malwarebytes , après tu posteras un zhpdiag pour voir si vraiment plus rien côté infection sur le pc , car hijackthis est de très loint dépassé !! 

1) passes ad-remover mode NETTOYER

Déactives ton anti-virus et anti-spyware le temps du scan 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Télécharge Ad-Remover sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html
ou:
https://www.androidworld.fr/

/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



( Le rapport est sauvegardé sous C:\Ad-report-clean.log ) 



2) fais un examen complet de ton pc avec malwarebytes

si vous avez Vista ou seven, vous devez désactiver l'UAC le temps de la désinfection. 

pour vista suivre ce tuto si besoin : http://www.teamxscript.org/uacvista.html

pour seven celui ci : http://www.teamxscript.org/uacseven.html




 !! ATTENTION !!! près de 2 heures de scan !!!

Télécharge Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

si problème essais avec celui ci : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installation, alors télécharge le ici :COMCTL32.OCX 

. enregistres le sur le bureau
. Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur » 
. si le pare-feu demande l'autorisation  de se connecter pour malwarebytes, acceptes
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Une fois la mise à jour terminée
. rend-toi dans l'onglet, Recherche
. Sélectionnes  Exécuter un examen complet
. Sélectionnes tous les disques si proposés
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré  double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/



3) postes un zhpdiag pour contrôle 

Ouvre ce lien et télécharge ZHPDiag : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

cliques sur télécharger "celui du bas" 

ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe



Enregistres le sur ton Bureau. 

Une fois le téléchargement achevé

pour XP, double-clique sur ZHPDiag 

pour Vista,et seven tu  fais un clic droit sur l'icône et exécute en tant qu'administrateur. 

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix. 

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !! 

Cliques sur la loupe pour lancer l'analyse. 

 si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire  un rapport plus complet et pouvoir en faire une lecture plus approfondis 

Laisses l'outil travailler, il peut être assez long 

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau. 


Fermes ZHPDiag en fin d'analyse. 


Pour me le transmettre clique sur ce lien : 

http://www.cijoint.fr/index.php  


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et  ZHPDiag.txt clique dessus 

Clique sur Ouvrir. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse. 


et si problème passe par celui ci :    https://www.cjoint.com/

tagada80 · Answer

Merci Jacques,

Je fais l'analyse ad remover et je te poste le resultat, je ne sais pas si je pourrais faire le scan complet avec Malwarebytes ce soir.

A tout de suite

tagada80 · Answer

Voici le rapport ad remover:

====== RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:00:34 le 20/03/2011, Mode normal

Microsoft® Windows Vista(TM) Professionnel  Service Pack 2 (X86) 
MarieetFabien@PC-DE-MARIEFAB (ASUSTeK Computer Inc. X58LE) 
 
============== ACTION(S) ==============

Service: "Application Updater" Stoppé et supprimé 
Service: "ASKUpgrade" Stoppé et supprimé 

Fichier supprimé: C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com
Dossier supprimé: C:\Program Files\AskBarDis
Dossier supprimé: C:\Program Files\Application Updater
Dossier supprimé: C:\Users\TEMP\AppData\LocalLow\pdfforge
Dossier supprimé: C:\Program Files\pdfforge Toolbar
Dossier supprimé: C:\Users\TEMP\AppData\LocalLow\Search Settings
Dossier supprimé: C:\Program Files\Common Files\Spigot

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
Clé supprimée: HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
Clé supprimée: HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
Clé supprimée: HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Clé supprimée: HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Clé supprimée: HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
Clé supprimée: HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin
Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
Clé supprimée: HKLM\Software\Application Updater
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\pdfforge
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKLM\Software\AppDataLow\AskBarDis
Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
Clé supprimée: HKCU\Software\AppDataLow\Software\Search Settings
Clé supprimée: HKLM\Software\Classes\Installer\Products\7A931B0A5D8E8E947AFB2124E1562280
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\7A931B0A5D8E8E947AFB2124E1562280
Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.15 (fr)] ****

Plugins
pDivxPlayerPlugin.dll (DivX, Inc)
Searchplugins\babylon.xml (hxxp://search.babylon.com/web/{searchTerms})
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension		)

-- C:\Users\TEMP\AppData\Roaming\Mozilla\FireFox\Profiles\mm8ocqsn.default --
Extensions\staged-xpis (?)
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.15

-- C:\Users\TEMP\AppData\Roaming\Mozilla\FireFox\Profiles\mm8ocqsn.default --
Extensions\staged-xpis (?)
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.15

-- C:\Users\TEMP\AppData\Roaming\Mozilla\FireFox\Profiles\mm8ocqsn.default --
Extensions\staged-xpis (?)
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.15

========================================

**** Internet Explorer Version [8.0.6001.19019] ****




HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\system32\wpcer.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
BHO\{4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 82 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 20/03/2011 22:08:08 (6569 Octet(s)) 

Fin à: 22:09:39, 20/03/2011 
 
============== E.O.F ============== 

Peux tu déjà me dire s'il y a déjà quelque chose qui cloche dessus stp???

tagada80 · Answer

Bonjour,

J'ai fait l'analyse Malwarebytes' Anti-Malware, il a trouvé 3 éléments infectés, j'ai suivi tes consignes jusqu'au redemarrage de l'ordi...

Et là, aucun rapport n'apparait dans log???

Alors qu'en effet avant d'éteindre l'ordi il avait ouvert le bloc note et noté son rapport..
Y a t il un autre moyen pour le retrouver???

En attendant ta réponse je vais procéder à la Troisième etape...

Mais mes problèmes sont toujours présents pour le moment au démarrage et ça me Grrrrrr.

Merci de ton aide

tagada80 · Answer

Voici le rapport de ZHP diag

http://www.cijoint.fr/cjlink.php?file=cj201103/cijpBFlVQY.txt

tagada80 · Answer

Bonjour Jacques,

Voici le rapport ZhpFix.
Dois je refaire Malwarebytes' Anti-Malware??

Je continues avec C cleaner




Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-22-03-2011-07-38-47.txt
Run by MarieetFabien at 22/03/2011 07:38:47
Windows Vista Business Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: pdfforge Toolbar v4.3 - (.Spigot, Inc..) [HKLM] -- {A0B139A7-E8D5-49E8-A7BF-12421E652208}  => Clé supprimée avec succès
O23 - Service: (Norton Internet Security) - Clé orpheline  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [RemoteControl] . (.Cyberlink Corp. - PowerDVD RC Service.) -- C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [WindowsWelcomeCenter] oobefldr.dll  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-3401533083-1126755157-3725626145-1000\..\Run: [WindowsWelcomeCenter] oobefldr.dll  => Valeur absente
O4 - HKLM\..\Run: [NPSStartup] Clé orpheline  => Valeur supprimée avec succès
{B5D49A0C-1CBF-405A-90A8-3460F9407D95}  => Valeur supprimée avec succès

========== Préférences navigateur ==========
O69 - SBI: prefs.js [MarieetFabien - eeujmsya.default] user_pref("CT1460988.SearchEngine", "Search||http://search.conduit.com/  => Valeur supprimée avec succès
O69 - SBI: prefs.js [MarieetFabien - eeujmsya.default] user_pref("CT1460988.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT1460988  => Valeur supprimée avec succès
O69 - SBI: prefs.js [MarieetFabien - eeujmsya.default] user_pref("CT1460988.ct1670222.SearchEngine", "Recherche||http://search.conduit.com/  => Valeur supprimée avec succès
O69 - SBI: prefs.js [MarieetFabien - eeujmsya.default] user_pref("CT1460988.myStuffSearchUrl", "http://search.conduit.com/  => Valeur supprimée avec succès

========== Dossier(s) ==========
Dossiers Flash Cookies supprimés : 338

========== Fichier(s) ==========
Fichiers Flash Cookies supprimés : 174

========== Fichier HOSTS ==========
Le fichier Hosts est sain

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: ST9250320AS rev.0303 -> \Device\Ide\IdeDeviceP1T0L0-1

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS intelide.sys 
1 ntkrnlpa!IofCallDriver[0x82A84912] -> \Device\Harddisk0\DR0[0x86127500]
3 CLASSPNP[0x8B39E8B3] -> ntkrnlpa!IofCallDriver[0x82A84912] -> [0x85F2C918]
5 acpi[0x8069F6BC] -> ntkrnlpa!IofCallDriver[0x82A84912] -> \Device\Ide\IdeDeviceP1T0L0-1[0x85F685E0]
kernel: MBR read successfully
user & kernel MBR OK 
 
Resultat après le fix :
Master Boot Record non infecté

========== Tache planifiée ==========
Task : ASUS Live Update  => Tâche supprimée avec succès
Task : ASUS P4G  => Tâche supprimée avec succès
Task : ASUS SmartLogon Console Sensor  => Tâche supprimée avec succès
Task : {1BCC8485-00F8-4779-A60B-A09D4B9C26CF}  => Tâche supprimée avec succès
Task : {DEEBA112-042B-4625-BAC1-EA9E0668585C}  => Tâche supprimée avec succès
Task : AppleSoftwareUpdate  => Tâche supprimée avec succès
Task : MP Scheduled Scan  => Tâche supprimée avec succès

========== Autre ==========
(.not file.)  => Format Non supporté
(.not file.)  => Format Non supporté
(.not file.)  => Format Non supporté
(.not file.)  => Format Non supporté
(.not file.)  => Format Non supporté
(.not file.)  => Format Non supporté
(.not file.)  => Format Non supporté


========== Récapitulatif ==========
2 : Clé(s) du Registre
10 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
4 : Préférences navigateur
1 : Fichier HOSTS
7 : Tache planifiée
                          1 : Master Boot Record
7 : Autre


End of the scan

tagada80 · Answer

Après ccleaner, l'ordi redemarre de la même facon!!!!!

J'ai refait Malwarebytes' Anti-Malware, voici le rapport:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Database version: 6113

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

22/03/2011 09:23:21
mbam-log-2011-03-22 (09-23-21).txt

Scan type: Full scan (C:\|D:\|E:\|)
Objects scanned: 327695
Time elapsed: 1 hour(s), 20 minute(s), 14 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

tagada80 · Answer

Alors mon soucis, c'est aue je n'ai plus aucune reconnaissance de mes paramètres personnalisés.
Fond d'ecran vert windows au lieu de ma poupette...
Gadgets windows sur le côté que j'avais supprimés:horloge, diapo photo...
Page d'accueil windows qûi s'ouvre automatiquement..

Un message qui me dit que certains paramètres ont été bloqués au demarrage car je ne suis pas l'utilisateur principal, c'est faux il n'y a que moi comme utilisateur... Je suis sur ma session.

Et idem sur mozilla, il me demande a chaque fois si je ne veux pas passer par explorer, exporter mes donnees, me fait une page d'accueil de base avec demarrer sur mozilla, skype une barre de recheche toolbar, un tas de maerde quoi..
Sur les sites frequemment utilisés, plus d'adresse, de mot de passe de pre enregistrés, aucune reconnaissance???

Si je remet mes paramètres persos , il me les enregistre bien et lors d'un arret, au redemarrage, tout est de nouveau effacé pour cette presentation!


Voilà, mon Pc est un ASUS pro portable personnel, il utilise vista pro:

Vois tu autre chose??
Dois je virais explorer, formater????

Merci de ton aide

tagada80 · Answer

Quelqu'un peut il m'aider svp???

Merci

Paramètres personalisés effacés au démarrage

9 réponses

Discussions similaires