ordi lent Résolu

Question

Bonjour, 

mon ordi est de plus en plus lent. voici le log hijackthis


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:31:18, on 13/02/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Evernote\Evernote\EvernoteClipper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Uniblue\SPEEDU~1\sump.exe
C:\Program Files\Uniblue\RegistryBoosteregistrybooster.exe
C:\Program Files\Microsoft Money 2007\MNYCoreFiles\msmoney.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceHelper.exe
C:\Program Files\Fichiers communs\Apple\Apple Application Support\distnoted.exe
C:\Program Files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe
C:\Documents and Settings\Marie Cayla\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Microsoft Security Client\Antimalware\MpCmdRun.exe
C:\Documents and Settings\Marie Cayla\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Marie Cayla\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marie Cayla\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Program Files\CCleaner\CCleaner.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: {a2a2207b-2672-6bab-6f24-fac7b92cde22} - {22edc29b-7caf-42f6-bab6-2762b7022a2a} - (no file)
O2 - BHO: (no name) - {3d1a5bb9-e1a1-448a-9109-af2d9158298d} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [SpeedUpMyPC] "C:\PROGRA~1\Uniblue\SPEEDU~1\launcher.exe" -d 20000 
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Marie Cayla\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: EvernoteClipper.lnk = C:\Program Files\Evernote\Evernote\EvernoteClipper.exe
O8 - Extra context menu item: Add to Evernote 4.0 - res://C:\Program Files\Evernote\Evernote\EvernoteIE.dll/204
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Program Files\Evernote\Evernote\Resource.dll,-101 - {A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://C:\Program Files\Evernote\Evernote\EvernoteIE.dll/204 (file missing)
O9 - Extra 'Tools' menuitem: @C:\Program Files\Evernote\Evernote\Resource.dll,-101 - {A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://C:\Program Files\Evernote\Evernote\EvernoteIE.dll/204 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - AppInit_DLLs: c:\windows\system32\
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

glops · Answer

bonsoir

tu as installé un logiciel ou des gadjets "Eorezo" sur ton PC,à ce propos lire ceci:

https://forum.malekal.com/viewtopic.php?t=18245&start=
https://forum.malekal.com/viewtopic.php?t=33439&start=

pour t'en débarrasser fais ceci:

=>Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
=>Lance le, clique sur [Suppression] puis patiente le temps du scan.
=>Une fois le scan fini, un rapport s'ouvrira. héberge  le rapport qui apparaît à la fin sur https://www.cjoint.com/  et poste le lien fourni dans ta réponse

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

ensuite pour faire un diagnostic plus complet de ton système 


=> Télécharge  ce logiciel: ZHPDiag de Nicolas Coolman sur ton bureau 
=> clique sur ZHPDiag.exe pour l'installer ! sous vista/win7 => clic droit et "exécuter en tant qu'administrateur ! 
=> Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.  
=> Clique ensuite sur l'icône représentant une loupe (« Lancer le diagnostic »)  
=> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette (sauvegarder le fichier sous)  
=> Héberge le rapport ZHPDiag.txt sur https://www.cjoint.com/  puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. 

Si tu as des difficultés avec cijoint.com => essaie un autre de ces hébergeurs 

http://pjjoint.malekal.com/ 
http://mes-fichiers.com/index.php/home 
http://ww38.toofiles.com/fr/documents-homepage.html 
http://www.gigaup.fr/

jmi · Answer

http://cjoint.com/?BBohhU0uuF8
http://cjoint.com/?BBohEPpZEZI

merci pour le temps passé
jmi

glops · Answer

bonsoir

tu vas maintenant exécuter un script qui va cibler des éléments néfaste à supprimer et d'autres à modifier

=> Lance ZHPFix (via le raccourci seringue sur ton Bureau)  
=> Copie les lignes suivantes : 

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified     
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified     
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} Clé orpheline     
[HKCU\Software\Spointer]     
[HKLM\Software\CrazyLoader]     
O43 - CFD: 13/08/2010 - 17:28:28 - [0,124] ----D- C:\Documents and Settings\Marie Cayla\Local Settings\Application Data\crazyloader Air     
O48 - LSA:Local Security Authority Notification Packages . (...) -- C:\WINDOWS\system32\digoteri.dll 
O53 - SMSR:HKLM\...\startupreg\CPM476e46f6  [Key] . (...) -- c:\windows\system32\puyekari.dll (.not file.) 
O53 - SMSR:HKLM\...\startupreg\NAV_Update  [Key] . (.Fujitsu Siemens Computer - Pas de description.) -- C:\NAV_Update.exe     
[HKLM\Software\Classes\eorezobho.eobho] 
[HKLM\Software\Classes\eorezobho.eobho.1] 
[HKLM\Software\Classes\Interface\{b0d071a1-36b3-4757-a126-14c89c56013a}]     
[HKLM\Software\Classes\Interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}]     
[HKLM\Software\Microsoft\dslcnnct] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\CrazyLoader]
C:\Documents and Settings\Marie Cayla\Local Settings\Application Data\Crazyloader Air     
      
( CTRL+A pour tout sélectionner, CTRL+C pour copier ) ou  => Avec la souris :tout sélectionner /copier)    

=> Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
=> les lignes copiées et seulement celles-là doivent  se placer  automatiquement dans la fenêtre de ZHPFix   
=> Si c'est bien le cas valide par "OK" sinon, ne fais rien et dis le moi  
=> Clique sur « Tous », puis sur « Nettoyer »  
=> copie:colle le rapport dans ta réponse ou héberge le  rapport sur https://www.cjoint.com/ et poste moi le lien fourni

*note: le rapport se trouve aussi sous  C:\ZHP\ZHPPFixReport.txt

jmi · Answer

Rapport de ZHPFix 1.12.3380 par Nicolas Coolman, Update du 05/02/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-14-02-2012-21-41-25.txt
Run by Marie Cayla at 14/02/2012 21:41:25
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key: CLSID BHO: {64F56FC1-1272-44CD-BA6E-39723696E350}
SUPPRIME Key: HKCU\Software\Spointer
SUPPRIME Key: HKLM\Software\CrazyLoader
SUPPRIME Key:  StartupReg: CPM476e46f6
SUPPRIME Key:  StartupReg: NAV_Update
SUPPRIME Key: HKLM\Software\Classes\eorezobho.eobho
SUPPRIME Key: HKLM\Software\Classes\eorezobho.eobho.1
SUPPRIME Key: HKLM\Software\Classes\Interface\{b0d071a1-36b3-4757-a126-14c89c56013a}
SUPPRIME Key: HKLM\Software\Classes\Interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}
SUPPRIME Key: HKLM\Software\Microsoft\dslcnnct
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\CrazyLoader

========== Elément(s) de donnée du Registre ==========
REMPLACE Value FirewallDisableNotify :   Good (0) - Bad (1)
REMPLACE Value UpdatesDisableNotify :   Good (0) - Bad (1)
SUPPRIME LSA Key: Security Packages

========== Dossier(s) ==========
SUPPRIME Folder: C:\Documents and Settings\Marie Cayla\Local Settings\Application Data\crazyloader Air

========== Fichier(s) ==========
ABSENT File: c:\windows\system32\puyekari.dll
SUPPRIME File: c:
av_update.exe
ABSENT Folder/File: c:\documents and settings\marie cayla\local settings\application data\crazyloader air


========== Récapitulatif ==========
11 : Clé(s) du Registre
3 : Elément(s) de donnée du Registre
1 : Dossier(s)
3 : Fichier(s)


End of clean in 00mn 11s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 14/02/2012 21:41:25 [1819]

glops · Answer

tu vas maintenant utiliser un logiciel plus généraliste et très efficace que tu pourras conserver et utiliser régulièrement:

=> Télécharge Malwarebytes antimalware:
=> utilise le en mode normal si possible
=> Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
=> Lance une analyse complète en cliquant sur "Exécuter un examen complet"
=> Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
=> L'analyse peut durer un bon moment....~2 heures
=> Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
=>Vérifie que tout ce qui est en rouge est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
=> Un rapport va s'ouvrir dans le bloc note... héberge le  rapport sur https://www.cjoint.com/ et poste moi le lien fourni
=> Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

 Tutoriel MBAM

jmi · Answer

bonjour
l'analyse par mbam n'est jamais allée jusqu'au bout.
arret au bout de 2h30 la 1ere fois puis mouline ("le programme ne répond pas") sans que la liste des fichiers défile.
je le relance apres un redémarrage de l'ordi. idem en 1h36. arret sur atixpwdm.cat ds un sous répertoire de c:\ati. 
4 éléments détectés a chaque fois.
jmi

glops · Answer

bonsoir

passe le en mode sans échec (touche F8 ou F5 pendant le boot)

jmi · Answer

http://cjoint.com/?BBqgVYVTIjO

rien de supprimé au démarrage
jmi

glops · Answer

bonsoir

Le rapport de MalwareBytes indique "No action taken" ou "aucune action effectuée"

Tu n'as pas supprimé la sélection ou tu n'as pas posté le bon rapport 

=>si tu n'as pas fermé MBAM clique sur supprimer la sélection et poste moi le 
=>Si tu as bien cliqué sur "Supprimer la sélection", il a du te proposer un second rapport : c'est celui ci qu'il me faut. Tu le retrouveras en lançant MalwareBytes et en allant dans l'onglet "Rapports/logs

=>si tu as fermé le programme il faut refaire une recherche et ne pas oublier de supprimer la sélection à la fin avant de me poster le rapport qui apparait

jmi · Answer

désolé, j'étais allé un peu vite
la suppression avait été faite
http://cjoint.com/?BBqwmTH3buC

jmi

glops · Answer

bonjour

refais un ZHPDiag et poste moi le lien Stp?

jmi · Answer

http://cjoint.com/?BBsqC7rVo2G
jmi

glops · Answer

=> Lance ZHPFix (via le raccourci seringue sur ton Bureau)  
=> Copie les lignes suivantes : 

O48 - LSA:Local Security Authority Notification Packages . (...) -- C:\WINDOWS\system32\digoteri.dll 
C:\Documents and Settings\Marie Cayla\Application Data\Mozilla\Firefox\Profiles	cnu6b5l.marie\Extensions\dttoolbar@toolbarnet.com 
O2 - BHO: {a2a2207b-2672-6bab-6f24-fac7b92cde22} - {22edc29b-7caf-42f6-bab6-2762b7022a2a} Clé orpheline 
O2 - BHO: (no name) - {3d1a5bb9-e1a1-448a-9109-af2d9158298d} Clé orpheline 
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline  
O43 - CFD: 18/02/2011 - 19:21:20 - [1,651] ----D- C:\Program Files\Spybot - Search & Destroy         
O51 - MPSK:{8b75146a-dedd-11db-88ce-000fea12a1f3}\AutoRun\command - Clé orpheline 
O51 - MPSK:{8e51ee2d-7af2-11df-a499-000fea12a1f3}\AutoRun\command - Clé orpheline 
O53 - SMSR:HKLM\...\startupreg\gegefoyipu  [Key] . (...) -- C:\WINDOWS\system32
ivufove.dll (.not file.) 
O53 - SMSR:HKLM\...\startupreg\LDM  [Key] . (...) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe (.not file.)     
O53 - SMSR:HKLM\...\startupreg\PopMessenger  [Key] . (...) -- C:\Program Files\PopMessenger\PopMessenger.exe (.not file.) 
Emptytemp
Emptyflash
      
( CTRL+A pour tout sélectionner, CTRL+C pour copier ) ou  => Avec la souris :tout sélectionner /copier)    

=> Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
=> les lignes copiées et seulement celles-là doivent  se placer  automatiquement dans la fenêtre de ZHPFix   
=> Si c'est bien le cas valide par "OK" sinon, ne fais rien et dis le moi  
=> Clique sur « Tous », puis sur « Nettoyer »  
=> copie:colle le rapport dans ta réponse ou héberge le  rapport sur https://www.cjoint.com/ et poste moi le lien fourni

*note: le rapport se trouve aussi sous  C:\ZHP\ZHPPFixReport.txt 

il est impératif de mettre à jour les logiciels sensibles que sont Java, Adobe reader et flash player

désinstalle donc toutes tes anciennes versions de java et installe la dernière version en te rendant sur ce site   
/!\ attention à ne pas installer en même temps de barres d'outils supplémentaires pour cela décocher la case qui la propose /!\ 

Tu utilises Adobe reader et ta version 9 est obsolète la dernière est la version X   
Après avoir désinstallé la version 9 présente sur ton PC se rendre sur cette page pour télécharger la version correspondant au système d'exploitation du PC  
/!\ à l'installation décocher la case qui propose d'installer Mc Afee virus Scan /!\  

Une fois installé et pour plus de sécurité,il faut désactiver l'interprétation du javascript  comme ceci:   
* Lancer Adobe Reader   
* Cliquer sur Edition --> Préférences --> JavaScript   
* Décocher "Activer Acrobat JavaScript"   
* Valider. 

tu me diras ensuite comment se comporte ton PC

jmi · Answer

http://cjoint.com/?BBtiMhsKQZr

glops · Answer

ok , comment se comporte ton PC maintenant?

jmi · Answer

beaucoup mieux merci. suis impressionné par la qualité du service.

par contre impossible d'installer acrobat reader X. téléchargement du programme "install...exe" ok. mais ensuite "échec initialisation". cela malgré l'arret de la protection en temps réel de mse, de l'utilisation d'IE à la place de chrome.
je peux faire comment pour arriver à installer acrobet reader?

question: quel est le principe d'utilisation de zhpdiag et fix?

merci encore
jmi

glops · Answer

il s'agit de Adobe reader X  

Avant de tenter de réinstaller Adobe reader X tu vas faire un nettoyage de la base de registre et des fichiers temp avec un logiciel que tu pourras conserver et utiliser régulièrement 

=>Télécharge et installe  ccleaner : 

=> Lance ccleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures". 
=> Dans le menu nettoyeur , clique sur "Analyse". 
=> Ensuite clique sur le bouton "Nettoyer" et laisse le faire. 
=> Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs" 
=> Réponds a OUI a la question qui te sera posée au sujet de la sauvegarde. 
=> Enfin , répare les erreurs en cliquant sur " Corriger les erreurs sélectionnées " 
=> recommence la recherche et la suppression des erreurs jusqu'à ce qu'il ne reste plus rien. 
=>  un  tutoriel pour t'aider : 

Redémarre ton PC  et Essaie ensuite de réinstaller adobe reader 

ZHPDiag est un mogiciel de diagnostic qui permet aprèes analyse de son rapport de détecter les infections 
ZHPFix nous sert à supprimer des éléments infectieux grace à un script de suppression 
glops31 /-----------\    Une désinfection inachevée est inutile...   /------------  
 ----------------------/ Qui prend conseil est près de bien faire.\------------

jmi · Answer

j'ai tout fait, mais toujours le meme message d'erreur lors de l'install.
jmi

glops · Answer

essaie sur ce lien => https://get2.adobe.com/reader/otherversions/

jmi · Answer

idem. çà renvoie sur la meme page qu'avant.
jmi

jmi · Answer

par le panneau de config.

jmi · Answer

par le panneau de config

glops · Answer

refais un ZHPDiag stp?

jmi · Answer

http://cjoint.com/?BBtssS6MjVQ
jmi

glops · Answer

=> Télécharge OTM (OtmoveIT). => http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
=> Double-clique sur OTM.exe pour le lancer.
=> Copie ces lignes:

C:\WINDOWS\system32\digoteri.dll

colle-la dans le cadre de gauche de OTM sous "Paste Instructions for Items to be Moved".
=> Clique sur "MoveIt!" puis ferme OTM.
=> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel  demandera de redémarrer l'ordinateur.
=> Si c'est le cas, accepte en cliquant sur "YES".
* Note: Le rapport est situé dans C:\_OTM\MovedFiles (Le nom du rapport correspond au moment de sa création : date_heure.log).
=> Ensuite, héberge le rapport créé à cette adresse : https://www.cjoint.com/
=> poste moi le lien fourni

jmi · Answer

http://cjoint.com/?BBttIVpvOKC

jmi · Answer

no pb
http://cjoint.com/?BBttVVYhYPD

jmi

glops · Answer

bien ,ça c'est réglé

au sujet de ton adobe reader je ne sais pas ce qu'il se passe essaie de réinstaller la version 9.5 sur cette page
 https://get2.adobe.com/fr/reader/otherversions/
fais ton choix dans le menu déroulant

jmi · Answer

idem pour la version 9.5:"échec d'initialisation".
ce qui m'étonne c'est qu'à chaque fois, une fois que je clique sur terminer apres échec de l'init, le fichier téléchargé est supprimé! meme après avoir supprimé la protection en temps réel de mse. le fichier téléchargé ne peut-il avoir été considéré comme un malware ou autre par un programme résident de l'ordi?
jmi

glops · Answer

sur les rapports ZHPDiag il y a des traces de "windows live onecare" ,"windows defender" (bizarre sur XP),  "AVG antispyware"

te sers tu de ces log?

glops · Answer

=> Lance ZHPFix (via le raccourci seringue sur ton Bureau)  
=> Copie les lignes suivantes : 

O53 - SMSR:HKLM\...\startupreg\AVG_TRAY  [Key] . (...) -- C:\Program Files\AVG\AVG10\avgtray.exe (.not file.) 
O53 - SMSR:HKLM\...\startupreg\fssui  [Key] . (...) -- C:\Program Files\Windows Live\Family Safety\fsui.exe (.not file.)
O43 - CFD: 15/11/2010 - 18:32:10 - [0,000] ----D- C:\Documents and Settings\Marie Cayla\Application Data\AVG10
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\MP Scheduled Scan.job 
      
( CTRL+A pour tout sélectionner, CTRL+C pour copier ) ou  => Avec la souris :tout sélectionner /copier)    

=> Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
=> les lignes copiées et seulement celles-là doivent  se placer  automatiquement dans la fenêtre de ZHPFix   
=> Si c'est bien le cas valide par "OK" sinon, ne fais rien et dis le moi  
=> Clique sur « Tous », puis sur « Nettoyer »  
=> copie:colle le rapport dans ta réponse ou héberge le  rapport sur https://www.cjoint.com/ et poste moi le lien fourni

*note: le rapport se trouve aussi sous  C:\ZHP\ZHPPFixReport.txt

jmi · Answer

Rapport de ZHPFix 1.12.3380 par Nicolas Coolman, Update du 05/02/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-19-02-2012-21-31-43.txt
Run by Marie Cayla at 19/02/2012 21:31:43
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key:  StartupReg: AVG_TRAY
SUPPRIME Key:  StartupReg: fssui

========== Dossier(s) ==========
SUPPRIME Folder: C:\Documents and Settings\Marie Cayla\Application Data\AVG10

========== Fichier(s) ==========
ABSENT File: c:\program files\avg\avg10\avgtray.exe
ABSENT File: c:\program files\windows live\family safety\fsui.exe
SUPPRIME File: c:\windows	asks\mp scheduled scan.job


========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Dossier(s)
3 : Fichier(s)


End of clean in 00mn 03s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 14/02/2012 21:41:25 [1871]
C:\ZHP\ZHPFix[R2].txt - 19/02/2012 08:29:21 [1863]
C:\ZHP\ZHPFix[R3].txt - 19/02/2012 21:31:43 [1037]

glops · Answer

regarde si ce lecteur gratuit de pdf te convient comme alternative à Adobe

https://framalibre.org

glops · Answer

pour supprimer les outils utilisés 

=> Télécharge delfix de xplode
=> lance DelFix, clique sur Suppression.
=> Patiente pendant la suppression jusqu'à l'ouverture du rapport.
=> Poste le contenu du rapport dans ta prochaine réponse sur le forum.

* Note : Le rapport se trouve sous C:\DelFixSearch.

pour le désinstaller ensuite  il suffira de relancer le programme et de cliquer sur "désinstalltion"

jmi · Answer

# DelFix v8.8 - Rapport créé le 19/02/2012 à 23:04:44
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Marie Cayla - JM (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Marie Cayla\Mes documents\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\USBFix
Supprimé : C:\_OTM
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\Trend Micro\Hijackthis

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\fastboot.exe
Supprimé : C:\fastboot.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\Documents and Settings\Marie Cayla\Bureau\DelDomains.inf
Supprimé : C:\Documents and Settings\Marie Cayla\Bureau\Dial-a-fix-v0.60.0.24.zip
Supprimé : C:\Documents and Settings\Marie Cayla\Bureau\HiJackThis.lnk
Supprimé : C:\Documents and Settings\Marie Cayla\Bureau\UsbFix.exe
Supprimé : C:\Documents and Settings\Marie Cayla\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Marie Cayla\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\Marie Cayla\Mes documents\Downloads\adwcleaner.exe
Supprimé : C:\Documents and Settings\Marie Cayla\Mes documents\Downloads\HiJackThis (1).msi
Supprimé : C:\Documents and Settings\Marie Cayla\Mes documents\Downloads\HiJackThis.msi
Supprimé : C:\Documents and Settings\Marie Cayla\Mes documents\Downloads\OTM.exe
Supprimé : C:\Documents and Settings\Marie Cayla\Mes documents\Downloads\SoftonicDownloader_pour_dial-a-fix.exe
Supprimé : C:\Documents and Settings\Marie Cayla\Mes documents\Downloads\WinsockxpFix.exe
Supprimé : C:\Documents and Settings\Marie Cayla\Mes documents\Downloads\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\USBFix
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\HijackThis
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [2655 octets] - [19/02/2012 23:04:44]

########## EOF - C:\DelFix[S1].txt - [2779 octets] ##########

glops · Answer

Bonsoir 

Si tu ne désires pas faire une restauration système afin de retrouver ton "Adobe reader" , tu dois maintenant purger la restauration système pour éviter de re-infecter ton PC avec les points de restauration qui sont infectés. 

pour cela tu peux te servir de "ccleaner" 

=> lance ccleaner par son raccourci 
=> clique sur "outils" puis sur "restauration système" 
=> dans la liste affichée, sélectionne les points à supprimer en cliquant dessus 
=> Supprime tous les points sauf le dernier  

Note que dans la liste tu peux sûrement retrouver le point correspondant à la suppression de "adobe reader" 
=> tu peux donc ne supprimer que les antérieurs 
Si jamais tu décidais de te servir de ce point il faudra juste supprimer à nouveau, les traces de malwares que nous avons enlevées par la suite et donc refaire un Fix 

Autre méthode laissant moins de choix 

=> Il faut désactiver et réactiver la restauration système suis ce tutoriel http://www.libellules.ch/desactiver_restauration.php pour t'aider.  

=> Il faut ensuite créer un point de restauration manuellement, pour t'aider suis ce tutoriel https://www.micro-astuce.com/depannage/creer-restauration-systeme.php  

N'hésite pas à me demander si tu n'as pas tout compris 

De nombreuses infections se propagent par supports amovibles pour éviter cela, Vaccine tes disques amovibles à l'aide de MKV (de ElDesaparecido et C_XX) : il suffit de brancher tous tes disques amovibles (clé USB, disque dur externe, lecteur mp3, cartes mémoire...) sans les ouvrir, puis de lancer MKV et cliquer sur "Vacciner". 

Enfin je t'invite à lire ces liens qui traitent de la sècurité sur le net 

https://www.malekal.com/proteger-pc-virus-pirates/?t=381&start= 

https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf 

https://www.luanagames.com/index.fr.html 

Bon surf prudent !! 
glops31 /-----------\    Une désinfection inachevée est inutile...   /------------  
 ----------------------/ Qui prend conseil est près de bien faire.\------------

Ordi lent - Page 2

Newsletters