Démarrage wXP : + de 4mn, suspicion de virus
indianaccm
Messages postés
3
Statut
Membre
-
sherred Messages postés 8605 Statut Membre -
sherred Messages postés 8605 Statut Membre -
Bonjour,
Le temps de démarrage de mon XP Pro ne cesse de s'allonger. Il est vrai que j'ai installé sur mon PC bcp trop de logiciels mais il y a qques semaines je me suis rendu compte que l'adresse IP de ma carte réseau n'avait rien à voir avec l'habituel 192.168.0.1 et avait été remplacée par un 82.250.18.114 ; ce qui doit correspondre aux install de Free (!?) mon FAI. Mais je n'ai pas trouvé ça normal. J'ai déconnecté, puis reconnecté. Et tout est redevenu normal... Mais depuis je n'ai plus vraiment confiance dans ma connexion, ni dans ce qui pourrait y avoir dans mon systeme.
MalawareByte a trouvé un svchost.exe dans le dossier d'un petit logiciel développé par un collègue. Ce logiciel est réputé sûr et ce svchost.exe n'avait rien à y faire. J'ai supprimé cet exe.
En attendant (et c'est le cas de le dire) mon PC est très lent et son temps de démarrage est d'au moins 4mn.
Dernier symptôme étrange : j'ai dû désactiver 2 fois un processus de démarrage nommé U??[carré]?[carré] (je ne sais pas taper un carré sur le clavier) situé dans SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows. Il faisait tout simplement disparaitre les icones de mon bureau : explorer.exe désactivé et non inscription de l'utilisateur dans le gestionnaire des tâches. Tout marche maintenant OK de ce côté là mais le process étrange est toujours visible (en 2 exemplaires) dans les processus de démarrage désactivés.
Pour ceux qui prendraient mon cas en charge, voici le lien du diagnostic ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj201104/cijnsSXLVp.txt
Par avance merci pour votre analyse.
Le temps de démarrage de mon XP Pro ne cesse de s'allonger. Il est vrai que j'ai installé sur mon PC bcp trop de logiciels mais il y a qques semaines je me suis rendu compte que l'adresse IP de ma carte réseau n'avait rien à voir avec l'habituel 192.168.0.1 et avait été remplacée par un 82.250.18.114 ; ce qui doit correspondre aux install de Free (!?) mon FAI. Mais je n'ai pas trouvé ça normal. J'ai déconnecté, puis reconnecté. Et tout est redevenu normal... Mais depuis je n'ai plus vraiment confiance dans ma connexion, ni dans ce qui pourrait y avoir dans mon systeme.
MalawareByte a trouvé un svchost.exe dans le dossier d'un petit logiciel développé par un collègue. Ce logiciel est réputé sûr et ce svchost.exe n'avait rien à y faire. J'ai supprimé cet exe.
En attendant (et c'est le cas de le dire) mon PC est très lent et son temps de démarrage est d'au moins 4mn.
Dernier symptôme étrange : j'ai dû désactiver 2 fois un processus de démarrage nommé U??[carré]?[carré] (je ne sais pas taper un carré sur le clavier) situé dans SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows. Il faisait tout simplement disparaitre les icones de mon bureau : explorer.exe désactivé et non inscription de l'utilisateur dans le gestionnaire des tâches. Tout marche maintenant OK de ce côté là mais le process étrange est toujours visible (en 2 exemplaires) dans les processus de démarrage désactivés.
Pour ceux qui prendraient mon cas en charge, voici le lien du diagnostic ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj201104/cijnsSXLVp.txt
Par avance merci pour votre analyse.
A voir également:
- Démarrage wXP : + de 4mn, suspicion de virus
- Forcer demarrage pc - Guide
- Ordinateur lent au démarrage - Guide
- Reinitialiser pc au demarrage - Guide
- Problème démarrage windows 10 - Guide
- Demarrage windows 10 - Guide
5 réponses
salut ,
on peu essayer ensemble
I PRÉLIMINAIRES
Désactiver le TeaTimer de Spybot (Merci à Nico):
car il va nous gêner pendant la désinfection
Pour désactiver le TeaTimer :
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", séléctionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le réouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.
----------------------
tu peu également le désinstaller , car spybot est désuet , à toi de voir
II préparation
tu a sur ton bureau ZHPFix que l'on va utiliser plus bas
1)
* Copie le tout le texte présent en gras ci-dessous ( tu le sélectionne avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[HKLM\Software\Startup Mechanic]
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
2)
Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .
* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .
Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .
* Enfin clique sur le bouton [ Nettoyer ] .
-> laisse travailler l'outil et ne touche à rien ...
-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) !
Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
pour info Startup Mechanic est une saloperie
III désinfections SPÉCIALES
AD-Remover
Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
http://www.teamxscript.org/too/AD-R.exe
/!\ Déconnectes toi et fermes toutes applications en cours
? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
? Double clique sur l'icône Ad-remover située sur ton bureau
au menu principal choisi l'option "nettoyage" .
--> le programme va travailler ...
* Postes le rapport qui apparait à la fin
( le rapport est sauvegardé aussi sous C:\Ad-report.log ) adreport(clean)
/!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\
sur vista Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
Aller dans démarrer puis panneau de configuration
Double Cliquer sur l'icône "Comptes d'utilisateurs"
Cliquer ensuite sur désactiver et valider.
Puis
sur vista et/ou sur windows seven
clic droit sur le raccourci Ad-remover et choisi démarrer en tant qu'administrateur
IV désinfections globale
télécharge Malwarebyte's ici
http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.46.exe
ou ici
https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".
Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des éléments on été trouvés > click sur supprimer la sélection.
si il t'es demandé de redémarrer > click sur "yes".
A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
PS : les rapport sont aussi rangé dans l onglet rapport/log
V refait un ZHPDiag
on peu essayer ensemble
I PRÉLIMINAIRES
Désactiver le TeaTimer de Spybot (Merci à Nico):
car il va nous gêner pendant la désinfection
Pour désactiver le TeaTimer :
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", séléctionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le réouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.
----------------------
tu peu également le désinstaller , car spybot est désuet , à toi de voir
II préparation
tu a sur ton bureau ZHPFix que l'on va utiliser plus bas
1)
* Copie le tout le texte présent en gras ci-dessous ( tu le sélectionne avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[HKLM\Software\Startup Mechanic]
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
2)
Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .
* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .
Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .
* Enfin clique sur le bouton [ Nettoyer ] .
-> laisse travailler l'outil et ne touche à rien ...
-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) !
Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
pour info Startup Mechanic est une saloperie
III désinfections SPÉCIALES
AD-Remover
Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
http://www.teamxscript.org/too/AD-R.exe
/!\ Déconnectes toi et fermes toutes applications en cours
? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
? Double clique sur l'icône Ad-remover située sur ton bureau
au menu principal choisi l'option "nettoyage" .
--> le programme va travailler ...
* Postes le rapport qui apparait à la fin
( le rapport est sauvegardé aussi sous C:\Ad-report.log ) adreport(clean)
/!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\
sur vista Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
Aller dans démarrer puis panneau de configuration
Double Cliquer sur l'icône "Comptes d'utilisateurs"
Cliquer ensuite sur désactiver et valider.
Puis
sur vista et/ou sur windows seven
clic droit sur le raccourci Ad-remover et choisi démarrer en tant qu'administrateur
IV désinfections globale
télécharge Malwarebyte's ici
http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.46.exe
ou ici
https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".
Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des éléments on été trouvés > click sur supprimer la sélection.
si il t'es demandé de redémarrer > click sur "yes".
A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
PS : les rapport sont aussi rangé dans l onglet rapport/log
V refait un ZHPDiag
Bonjour Sherred,
Merci de t'être penché sur mon cas.
J'ai fait tout ce que tu m'as demandé.
D'abord je veux te signaler que TeaTimer n'est plus actif. Il est décoché dans mon MsConfig.
Aussi, tu vas voir que StartUp Mechanic n'a pas totalement été désinstallé par la procédure ZHPFix ; (HKLM\Software\Startup Mechanic => Clé non supprimée) ; mais si tu m'y invites, je peux aller dans ma registrery le killer.
**************************************************************
Voilà le rapport ZHPExportRegistry-27-04-2011-15-58-30.txt :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Startup Mechanic]
"NOE"="10"
"Last Scan Date"="10/04/2008 03:38:19"
"Number Of Scans"="13"
"Number Of Quarantined"="3"
"Number Of Items"="7"
[HKEY_LOCAL_MACHINE\Software\Startup Mechanic\Quarantine]
"tkbellexe"="REG*HKEY_LOCAL_MACHINE*SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run*\"c:\\program files\\fichiers communs\\real\\update_ob\\realsched.exe\" -osboot"
"aticcc"="REG*HKEY_LOCAL_MACHINE*SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run*\"c:\\program files\\ati technologies\\ati.ace\\cli.exe\" runtime"
"ATI CATALYST System Tray.lnk"="STR*C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\ATI CATALYST System Tray.lnk"
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
***************************************************************
et le ZHPFix :
Rapport de ZHPFix 1.12.3278 par Nicolas Coolman, Update du 21/04/2011
Fichier d'export Registre :
Run by Indiana Jones at 27/04/2011 15:58:30
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
HKLM\Software\Startup Mechanic => Clé non supprimée
========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
End of the scan
************************************************************
Voilà ce que AD Remover a donné :
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:03:54 le 27/04/2011, Mode normal
Microsoft Windows XP Professionnel Service Pack 2 (X86)
Indiana Jones@LAYLA ( )
============== ACTION(S) ==============
(!) -- Fichiers temporaires supprimés.
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [3.6.16 (fr)] ****
Plugins\npwachk.dll (Nullsoft, Inc.)
HKLM_MozillaPlugins\@checkpoint.com/FFApi (x)
-- C:\Documents and Settings\Indiana Jones\Application Data\Mozilla\FireFox\Profiles\r0itl6k6.default --
Extensions\fr@dictionaries.addons.mozilla.org (Dictionnaire HunSpell en Français (réforme 1990))
Extensions\notebook@google.com (Google Notebook)
Extensions\piclens@cooliris.com (Cooliris)
Extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} (Winamp Toolbar)
Extensions\{71328583-3CA7-4809-B4BA-570A85818FBB} (CacheViewer)
Extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5} (DVDVideoSoftTB Toolbar)
Extensions\{EF522540-89F5-46b9-B6FE-1829E2B572C6} (SearchPreview)
Searchplugins\winamp-search.xml (?)
Prefs.js - browser.download.dir, E:\\Installateurs\\Audio
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/ig?hl=fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16
Prefs.js - keyword.URL, hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p=
-- C:\Documents and Settings\Mimi\Application Data\Mozilla\FireFox\Profiles\86a7bbo3.default --
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Mimi\\Mes documents\\Mes images\\Photo20071227\\cliparts
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13
-- C:\Documents and Settings\YodAdmin\Application Data\Mozilla\FireFox\Profiles\nvmrwyv4.default --
Extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} (Winamp Toolbar)
Searchplugins\winamp-search.xml (?)
Prefs.js - browser.startup.homepage, hxxp://www.google.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.0.5
========================================
**** Google Chrome Version [10.0.648.204] ****
Extension\jfmjfhklogoienhpfnppmbcbjfjnkonk (C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx) (?)
-- C:\Documents and Settings\Indiana Jones\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: ) (?)
Preferences - homepage: hxxp://www.google.fr/ig?hl=fr&source=iglk
Preferences - homepage_is_newtabpage: false
========================================
**** Internet Explorer Version [8.0.6001.18702] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{0297410C-7126-4A2E-B4A3-A8947A7B8339} - "Tom's Guide" (hxxp://www.tomsguide.com/fr/recherche.php?recherche={searchTerms})
HKCU_Toolbar\ShellBrowser|{A057A204-BACC-4D26-9990-79A187E2698E} (x)
HKCU_Toolbar\WebBrowser|{A057A204-BACC-4D26-9990-79A187E2698E} (x)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
BHO\{22BF413B-C6D2-4d91-82A9-A0F997BA588C} (?)
BHO\{7E853D72-626A-48EC-A868-BA8D5E23E045} (?)
BHO\{C56CB6B0-0D96-11D6-8C65-B2868B609932} - "NTIECatcher Class" (C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll)
BHO\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5} (?)
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 27/04/2011 18:04:05 (2796 Octet(s))
Fin à: 18:05:23, 27/04/2011
============== E.O.F ==============
Et enfin le MalawareBytes :
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6452
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702
27/04/2011 18:22:31
mbam-log-2011-04-27 (18-22-30).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 187645
Temps écoulé: 6 minute(s), 12 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Je t'ai aussi posté un ZHPDiag à l'adresse :
http://www.cijoint.fr/cjlink.php?file=cj201104/cijefolJG9.txt
*****************************************************
Pour l'instant, je ne constate pas vraiment d'amélioration sensible sur la vitesse de démarrage.
D'autre part, les 2 processus de démarrage étranges dont je parle dans mon 1er poste sont toujours présents (mais n'agissent pas sur l'ouverture "sans bureau" que j'ai eu il y a qques semaines avant de les désactiver)
J'aimerais surtout savoir comment il est possible de se retrouver du jour au lendemain avec une adresse IP exotique. Si aujourd'hui le 82.250.18.114 est situé en Creuse, le jour où je l'ai découvert, ma recherche Whois m'a renvoyé une adresse à Ankarra !! (j'en viens à me demander si je n'ai pas fait une faute de frappe ce jour là).
Dis-moi si je peux aller killer la clé de registre restante concernant StarUp Mechanic. (Je ne me souviens même pas avoir installé ce truc là).
Merci pour ta réponse.
Merci de t'être penché sur mon cas.
J'ai fait tout ce que tu m'as demandé.
D'abord je veux te signaler que TeaTimer n'est plus actif. Il est décoché dans mon MsConfig.
Aussi, tu vas voir que StartUp Mechanic n'a pas totalement été désinstallé par la procédure ZHPFix ; (HKLM\Software\Startup Mechanic => Clé non supprimée) ; mais si tu m'y invites, je peux aller dans ma registrery le killer.
**************************************************************
Voilà le rapport ZHPExportRegistry-27-04-2011-15-58-30.txt :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Startup Mechanic]
"NOE"="10"
"Last Scan Date"="10/04/2008 03:38:19"
"Number Of Scans"="13"
"Number Of Quarantined"="3"
"Number Of Items"="7"
[HKEY_LOCAL_MACHINE\Software\Startup Mechanic\Quarantine]
"tkbellexe"="REG*HKEY_LOCAL_MACHINE*SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run*\"c:\\program files\\fichiers communs\\real\\update_ob\\realsched.exe\" -osboot"
"aticcc"="REG*HKEY_LOCAL_MACHINE*SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run*\"c:\\program files\\ati technologies\\ati.ace\\cli.exe\" runtime"
"ATI CATALYST System Tray.lnk"="STR*C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\ATI CATALYST System Tray.lnk"
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
***************************************************************
et le ZHPFix :
Rapport de ZHPFix 1.12.3278 par Nicolas Coolman, Update du 21/04/2011
Fichier d'export Registre :
Run by Indiana Jones at 27/04/2011 15:58:30
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
HKLM\Software\Startup Mechanic => Clé non supprimée
========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
End of the scan
************************************************************
Voilà ce que AD Remover a donné :
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:03:54 le 27/04/2011, Mode normal
Microsoft Windows XP Professionnel Service Pack 2 (X86)
Indiana Jones@LAYLA ( )
============== ACTION(S) ==============
(!) -- Fichiers temporaires supprimés.
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [3.6.16 (fr)] ****
Plugins\npwachk.dll (Nullsoft, Inc.)
HKLM_MozillaPlugins\@checkpoint.com/FFApi (x)
-- C:\Documents and Settings\Indiana Jones\Application Data\Mozilla\FireFox\Profiles\r0itl6k6.default --
Extensions\fr@dictionaries.addons.mozilla.org (Dictionnaire HunSpell en Français (réforme 1990))
Extensions\notebook@google.com (Google Notebook)
Extensions\piclens@cooliris.com (Cooliris)
Extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} (Winamp Toolbar)
Extensions\{71328583-3CA7-4809-B4BA-570A85818FBB} (CacheViewer)
Extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5} (DVDVideoSoftTB Toolbar)
Extensions\{EF522540-89F5-46b9-B6FE-1829E2B572C6} (SearchPreview)
Searchplugins\winamp-search.xml (?)
Prefs.js - browser.download.dir, E:\\Installateurs\\Audio
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/ig?hl=fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16
Prefs.js - keyword.URL, hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p=
-- C:\Documents and Settings\Mimi\Application Data\Mozilla\FireFox\Profiles\86a7bbo3.default --
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Mimi\\Mes documents\\Mes images\\Photo20071227\\cliparts
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13
-- C:\Documents and Settings\YodAdmin\Application Data\Mozilla\FireFox\Profiles\nvmrwyv4.default --
Extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} (Winamp Toolbar)
Searchplugins\winamp-search.xml (?)
Prefs.js - browser.startup.homepage, hxxp://www.google.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.0.5
========================================
**** Google Chrome Version [10.0.648.204] ****
Extension\jfmjfhklogoienhpfnppmbcbjfjnkonk (C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx) (?)
-- C:\Documents and Settings\Indiana Jones\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: ) (?)
Preferences - homepage: hxxp://www.google.fr/ig?hl=fr&source=iglk
Preferences - homepage_is_newtabpage: false
========================================
**** Internet Explorer Version [8.0.6001.18702] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{0297410C-7126-4A2E-B4A3-A8947A7B8339} - "Tom's Guide" (hxxp://www.tomsguide.com/fr/recherche.php?recherche={searchTerms})
HKCU_Toolbar\ShellBrowser|{A057A204-BACC-4D26-9990-79A187E2698E} (x)
HKCU_Toolbar\WebBrowser|{A057A204-BACC-4D26-9990-79A187E2698E} (x)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
BHO\{22BF413B-C6D2-4d91-82A9-A0F997BA588C} (?)
BHO\{7E853D72-626A-48EC-A868-BA8D5E23E045} (?)
BHO\{C56CB6B0-0D96-11D6-8C65-B2868B609932} - "NTIECatcher Class" (C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll)
BHO\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5} (?)
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 27/04/2011 18:04:05 (2796 Octet(s))
Fin à: 18:05:23, 27/04/2011
============== E.O.F ==============
Et enfin le MalawareBytes :
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6452
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702
27/04/2011 18:22:31
mbam-log-2011-04-27 (18-22-30).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 187645
Temps écoulé: 6 minute(s), 12 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Je t'ai aussi posté un ZHPDiag à l'adresse :
http://www.cijoint.fr/cjlink.php?file=cj201104/cijefolJG9.txt
*****************************************************
Pour l'instant, je ne constate pas vraiment d'amélioration sensible sur la vitesse de démarrage.
D'autre part, les 2 processus de démarrage étranges dont je parle dans mon 1er poste sont toujours présents (mais n'agissent pas sur l'ouverture "sans bureau" que j'ai eu il y a qques semaines avant de les désactiver)
J'aimerais surtout savoir comment il est possible de se retrouver du jour au lendemain avec une adresse IP exotique. Si aujourd'hui le 82.250.18.114 est situé en Creuse, le jour où je l'ai découvert, ma recherche Whois m'a renvoyé une adresse à Ankarra !! (j'en viens à me demander si je n'ai pas fait une faute de frappe ce jour là).
Dis-moi si je peux aller killer la clé de registre restante concernant StarUp Mechanic. (Je ne me souviens même pas avoir installé ce truc là).
Merci pour ta réponse.
c'est quoi ces rapports vierges ?
les adware ont ete supprimés , mais tu me fournis des rapport sans rien
pour Startup Mechanic
va dans ajout/suppression et supprimes le
si ca ne marche pas essaye en sans echec
ou avec RevoUninstaller https://www.clubic.com/telecharger-fiche39528-revouninstaller.html
apres........
copy ces lignes --> colle et supprime les dans ZHPFix , comme tu la deja fait plus haut
O53 - SMSR:HKLM\...\startupreg\RunFlip [Key] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\RunFlip.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Bonjour\mDNSResponder.exe" [Enabled] .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
O64 - Services: CurCS - C:\Program Files\Bonjour\mDNSResponder.exe - Service Bonjour (Bonjour Service) .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline
O64 - Services: CurCS - (.not file.) - Application Updater (Application Updater) .(...) - LEGACY_APPLICATION_UPDATER
O64 - Services: CurCS - (.not file.) - EasyBoxApache (EasyBoxApache) .(...) - LEGACY_EASYBOXAPACHE
les adware ont ete supprimés , mais tu me fournis des rapport sans rien
pour Startup Mechanic
va dans ajout/suppression et supprimes le
si ca ne marche pas essaye en sans echec
ou avec RevoUninstaller https://www.clubic.com/telecharger-fiche39528-revouninstaller.html
apres........
copy ces lignes --> colle et supprime les dans ZHPFix , comme tu la deja fait plus haut
O53 - SMSR:HKLM\...\startupreg\RunFlip [Key] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\RunFlip.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Bonjour\mDNSResponder.exe" [Enabled] .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
O64 - Services: CurCS - C:\Program Files\Bonjour\mDNSResponder.exe - Service Bonjour (Bonjour Service) .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline
O64 - Services: CurCS - (.not file.) - Application Updater (Application Updater) .(...) - LEGACY_APPLICATION_UPDATER
O64 - Services: CurCS - (.not file.) - EasyBoxApache (EasyBoxApache) .(...) - LEGACY_EASYBOXAPACHE
Bonsoir Sherred,
Désolé, je ne comprends pas cette histoire de rapports vierges.
Au sujet de Startup Mechanic : ne figure pas dans ajout et suppression des logiciels. Seule trace : un dossier vide dans le dossier démarrage de mes "docs and settings" et la clé non supprimée HKLM\Software\Startup Mechanic.
Cette clé contient une clé Quarantine où 3 valeurs sont répertoriées :
"aticcc" avec donnée : REG*HKEY_LOCAL_MACHINE*SOFTWARE\Microsoft\Windows\CurrentVersion\Run*"c:\program files\ati technologies\ati.ace\cli.exe" runtime
"ATI CATALYST System Tray.lnk" avec donnée : STR*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ATI CATALYST System Tray.lnk
"tkbellexe" avec donnée : REG*HKEY_LOCAL_MACHINE*SOFTWARE\Microsoft\Windows\CurrentVersion\Run*"c:\program files\fichiers communs\real\update_ob\realsched.exe" -osboot
Pour le RunFlip.exe, je crois que c'est un petit utilitaire associé à ma Webcam qui permet de l'accrocher dans un sens Haut/Bas ou de l'inverser Bas/Haut.
J'ai vu que Bonjour\mDNSResponder.exe est un processus lié au logiciel de « Bonjour for Windows ». Il est employé par ITunes pour le partage de musique. Ores, j'utilise beaucoup Itunes et je partage ma bibliothèque sur d'autres appareils chez moi. Dois-je l'enlever malgré tout ?
J'attends ta réponse avant d'opérer.
****************************************************************
En regardant les clés StarUp Mechanic dans Regedit, j'ai aperçu qques lignes au-dessus, 2 clés au nom étrange. Tu vas peut-être me dire d'ouvrir une autre question sur le forum, mais je la rédige ici quitte à la recopier plus tard.
Tout simplement, qu'est-ce que c'est ?
HKEY_LOCAL_MACHINE\SOFTWARE\Redemption
Valeur : CA5D31F2 avec un champ de donnée vide
et
HKEY_LOCAL_MACHINE\SOFTWARE\Redemption??
Valeur 1 : ????????3F61F5BE avec un champ de donnée vide
Valeur 2 : ????????C3A58B1D avec un champ de donnée vide
J'ai un peu cherché sur le net... Rien vu sauf un mec qui, comme moi (mais lui en 2004), se posait la même question sur generation NT sans avoir obtenu de réponse.
Voilà.
Encore merci pour ton aide.
J'aimerais savoir ce que tu penses de cette adresse IP qu'avait pris ma carte réseau. Etais-je visible sur le net avec cette adresse, étais-je piraté, on utilisait mon ordi...?
A+
Désolé, je ne comprends pas cette histoire de rapports vierges.
Au sujet de Startup Mechanic : ne figure pas dans ajout et suppression des logiciels. Seule trace : un dossier vide dans le dossier démarrage de mes "docs and settings" et la clé non supprimée HKLM\Software\Startup Mechanic.
Cette clé contient une clé Quarantine où 3 valeurs sont répertoriées :
"aticcc" avec donnée : REG*HKEY_LOCAL_MACHINE*SOFTWARE\Microsoft\Windows\CurrentVersion\Run*"c:\program files\ati technologies\ati.ace\cli.exe" runtime
"ATI CATALYST System Tray.lnk" avec donnée : STR*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ATI CATALYST System Tray.lnk
"tkbellexe" avec donnée : REG*HKEY_LOCAL_MACHINE*SOFTWARE\Microsoft\Windows\CurrentVersion\Run*"c:\program files\fichiers communs\real\update_ob\realsched.exe" -osboot
Pour le RunFlip.exe, je crois que c'est un petit utilitaire associé à ma Webcam qui permet de l'accrocher dans un sens Haut/Bas ou de l'inverser Bas/Haut.
J'ai vu que Bonjour\mDNSResponder.exe est un processus lié au logiciel de « Bonjour for Windows ». Il est employé par ITunes pour le partage de musique. Ores, j'utilise beaucoup Itunes et je partage ma bibliothèque sur d'autres appareils chez moi. Dois-je l'enlever malgré tout ?
J'attends ta réponse avant d'opérer.
****************************************************************
En regardant les clés StarUp Mechanic dans Regedit, j'ai aperçu qques lignes au-dessus, 2 clés au nom étrange. Tu vas peut-être me dire d'ouvrir une autre question sur le forum, mais je la rédige ici quitte à la recopier plus tard.
Tout simplement, qu'est-ce que c'est ?
HKEY_LOCAL_MACHINE\SOFTWARE\Redemption
Valeur : CA5D31F2 avec un champ de donnée vide
et
HKEY_LOCAL_MACHINE\SOFTWARE\Redemption??
Valeur 1 : ????????3F61F5BE avec un champ de donnée vide
Valeur 2 : ????????C3A58B1D avec un champ de donnée vide
J'ai un peu cherché sur le net... Rien vu sauf un mec qui, comme moi (mais lui en 2004), se posait la même question sur generation NT sans avoir obtenu de réponse.
Voilà.
Encore merci pour ton aide.
J'aimerais savoir ce que tu penses de cette adresse IP qu'avait pris ma carte réseau. Etais-je visible sur le net avec cette adresse, étais-je piraté, on utilisait mon ordi...?
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
tu a fait le ZHPFix ? que je t'ai demandé ?? https://forums.commentcamarche.net/forum/affich-21941398-demarrage-wxp-de-4mn-suspicion-de-virus#3
passe ca
Ccleaner https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 24 heures .
tu fait le nettoyage
Fichiers temporaires de Windows
Cookies, cache, historique d'Internet Explorer, Opera et Firefox
Documents récents de Windows
et ensuite onglet registre recherche et réparation de la base de registre.
passe ca
Ccleaner https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 24 heures .
tu fait le nettoyage
Fichiers temporaires de Windows
Cookies, cache, historique d'Internet Explorer, Opera et Firefox
Documents récents de Windows
et ensuite onglet registre recherche et réparation de la base de registre.
