[HijackThis] divers problèmes démarrage Fermé

Question

Bonjour
XP Pro
Mon PC a des problèmes qui ne m'empechent pas de travailler, mais je ne peux pas desinstaller la Toolbar de Google par Panneau/Inst et Desinst, des fois le clavier ne s'active pas au démarrage, etc. Si une âme caritative veut et peut m'aider je lui serais très reconnaissant. Cordialement Pibe

StartupList report, 05/02/2007, 23:34:57
StartupList version: 1.52.2
Started from : C:\Documents and Settings\Damian Canals-Frau\Bureau\Dossier HijackThis\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\FTRTSVC.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Microsoft Money 2006\MNYCoreFiles\System\Money Express.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Damian Canals-Frau\Bureau\Dossier HijackThis\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]
Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

!AVG Anti-Spyware = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
WOOWATCH = C:\PROGRA~1\Wanadoo\Watch.exe
WOOTASKBARICON = C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
SPAMfighter Agent = "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
QuickTime Task = "C:\Program Files\QuickTime\qttask.exe" -atboottime
Logitech Utility = Logi_MwX.Exe
GSICONEXE = GSICON.EXE
DSLAGENTEXE = dslagent.exe USB
avgnt = "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MoneyAgent = "C:\Program Files\Microsoft Money 2006\MNYCoreFiles\System\Money Express.exe"

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\system32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - (no file) - {AA58ED58-01DD-4d91-8333-CF10577473F7}

--------------------------------------------------

Enumerating Task Scheduler jobs:

1-Click Maintenance.job
Maintenance en 1 clic.job

--------------------------------------------------

Enumerating Download Program Files:

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\system32\wuweb.dll
CODEBASE = http://update.microsoft.com/...

[HouseCall Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\xscan53.ocx
CODEBASE = https://www.trendmicro.com/en_us/forHome/products/housecall.html

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx
CODEBASE = http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------
End of report, 5 988 bytes
Report generated in 0,172 seconds

Command line options:
   /verbose  - to add additional info on each section
   /complete - to include empty sections and unsuspicious data
   /full     - to include several rarely-important sections
   /force9x  - to include Win9x-only startups even if running on WinNT
   /forcent  - to include WinNT-only startups even if running on Win9x
   /forceall - to include all Win9x and WinNT startups, regardless of platform
   /history  - to list version history only

blondin777 · Answer

Tu peux refaire un log en suivant cette proçédure, stp?

télécharges « Hijackthis »:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
sauvegardes-le dans un dossier créé spécialement à la racine de ta partition principale (généralement c:\) (là où il y a "Windows", "Program Files"…)' nommes-le "hijackthis" pour le retrouver facilement (vois la démo ci-dessous).
clic sur le fichier > « exécute » > « do a scan and save a logfile ».
une fois fini tu vas avoir un « rapport.txt » (dans le dossier où tu l’as telechargé)
postes ici ce rapport
Démo : http://pageperso.aol.fr/balltrap34/Hijenr.gif
http://pageperso.aol.fr/balltrap34/demohijack.htm

A+

blondin777 · Answer

Voilà un lien peut être plus explicite pour toi.

https://forums.cnetfrance.fr

Coches et fixes les lignes suivantes: (utilise le lien ci dessus pour savois comment faire)

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL 
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) 
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money 2006\MNYCoreFiles\System\Money Express.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.2480\GoogleToolbarNotifier.exe 
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) 
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/ 
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe 
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

Vas dans le menu démarrer -> executer et tu tapes : services.msc

** Cherche les services suivants : 
FTRTSVC.exe
GoogleUpdaterService.exe

Double clic dessus : dans le champs "Status du service" met le sur "arrêté"
dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok"

Dis moi si ca va mieux.

A+

blondin777 · Answer

Un dernier conseil, suis cette procédure histoire de faire un bon coup de nettoyage:

>>> note très importante:
1°) ce qui suit doit être imprimé ou enregistré dans un fichier texte sur le bureau pour utilisation en "mode sans échec (donc forum inaccessible)
2°) les utilitaires indiqués doivent être téléchargés, installés et mis à jour en "mode normal" avant toute utilisation.
3°) démarrer en mode sans échec et utiliser les utilitaires dans l'ordre.

** télécharges « CCleaner »:
https://www.01net.com/404/
après l’install. lances-le et
Clic sur "Options" > "Avancé" et décoches la case "Effacer uniquement ...que 48 heures".
clic sur « erreurs » (à gauche) coches toutes les cases (sauf la dernière), puis
clic sur « chercher des erreurs » une fois fini,
clic sur « réparer les erreurs »
au message pour sauvegarder la base de registre clic « oui »
dans la fenêtre qui apparaît clic sur « corriger toutes les erreurs » puis sur « ok »
recommencer jusqu’a ce qu’il n’y aie plus d’erreurs.
dans la colonne de gauche clic sur « nettoyeur »puis « analyse ».
attendre la fin et clic sur « lancer le nettoyage » autant de fois que nécessaire.

** télécharges « spybot »: https://www.01net.com/
lances le apres install. >
dans « langue » choisis « fr » (si besoin est)
dans « mode » choisir « mode avancé »
clic sur « réglages » (à gauche) >> « modules add. », coches toutes les cases sauf la dernière (traceur...)
reviens sur l'onglet "spybot-S&D" (à gauche) cliques sur "vérif tout"
quand c'est fini supprimes tt ce q’il trouve en cliquant sur "corriger..."
(s'il te propose de redémarrer le pc pour finir le nettoyage acceptes et laisses-le faire, (mais dès que c'est fini redémarres en mode sans echec et continues les étapes)
utilises la rubrique "aide" si nécssaire

**Télécharge la version d'essai d'AVG Anti-Spyware 7.5 ici :
https://www.avg.com/en-ww/free-antivirus-download
et l'installer.

Son tuto (merci malekal_morte) : https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/

Démarrer AVG antispyware. Cliquer sur "mise à jour", cliquer sur le bouton "Commencer la mise à jour" et attendre la fin de cette mise à jour puis, fermer le programme.
 Redemarrer en mode sans échec, relancer AVG AS et cliquer sur l'onglet "scanner" puis sur "Analyse complète du système".
Une fois le scan terminé, il t'affiche un rapport. Cliquer sur "configurer..." en bas a gauche et choisir "supprimer". Ensuite cliquer sur "Appliquer toutes les actions ", ca va supprimer toutes les infections détectées.
Ensuite cliquer sur "Enregistrer le rapport d'analyse" -> "enregistrer sous" et enregistrer le rapport où bon te semble, afin de me l'envoyer dans ta prochaine réponse.

Pour vérifier, scanne ton PC avec cet antivirus en ligne (sous IE et accepte l’activX) :
http://www.bitdefender.fr/bd/site/search.php#
Clique sur « Bitdefender scan on line » suis les instructions.
Et colle le rapport.

Tiens moi au courant.

A+

Pibe · Answer

Bonjour.
Voilà, c'est fait.
Comme j'utilise ces 3 logiciels régulièrement, ils n'ont rien trouvé. CCleaner a éliminé plusieurs cookies et trucs temp, "Erreur" a éliminé deux lignes et le rapport de AVG est ici

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	00:55:28 11/02/2007

 + Résultat de l'analyse:	



	Rien à signaler.



Fin du rapport

Mon antivir est à jour, mais je passerai encore Bitdefender.
 Voici le rapport de Bitdefender.
Il n’y a rien trouvé dans mon PC proprement dit. Mais sur le DD extérieur USB, dans la partition H j’ai stocké ce que j’ai pu sauver de mon PC ancien. Je vois que parmi le courrier il y a des trucs, comme swan. Pour le moment j’ai débranché le DD externe. Comment fait-on pour effacer tout cela ?
Encore merci
Cordialement Pibe



BitDefender Online Scanner
  
  
 
Scan report generated at: Sun, Feb 11, 2007 - 12:40:35
 
 
  
  
 
Scan path: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:\;
  
  
 
 
  
  
 
Statistics
 
Time
 01:00:30
 
Files
 462439
 
Folders
 5468
 
Boot Sectors
 9
 
Archives
 10262
 
Packed Files
 35748
 
  
  
 
Results
 
Identified Viruses 
 1
 
Infected Files 
 2
 
Suspect Files 
 2
 
Warnings
 0
 
Disinfected
 0
 
Deleted Files
 4
 
  
  
 
Engines Info
 
Virus Definitions
 419928
 
Engine build
 AVCORE v1.0 (build 2371) (i386) (Dec 13 2006 11:16:42)
 
Scan plugins
 14
 
Archive plugins
 38
 
Unpack plugins
 6
 
E-mail plugins
 6
 
System plugins
 1
 
  
  
 
Scan Settings
 
First Action
 Disinfect
 
Second Action
 Delete
 
Heuristics
 Yes
 
Enable Warnings
 Yes
 
Scanned Extensions
 *;
 
Exclude Extensions
  
 
Scan Emails
 Yes
 
Scan Archives
 Yes
 
Scan Packed
 Yes
 
Scan Files
 Yes
 
Scan Boot
 Yes
 
  
  
 
  Scanned File
  Status
 
H:\Boîte de réception.dbx=>(message 51)=>[Subject: ][Date: 9 Apr 2004 14:46:08 +0100]=>(MIME part)=>(message body)
 Suspected of: Exploit.Iframe.Vulnerability
 
H:\Boîte de réception.dbx=>(message 51)=>[Subject: ][Date: 9 Apr 2004 14:46:08 +0100]=>(MIME part)=>(message body)
 Disinfection failed
 
H:\Boîte de réception.dbx=>(message 51)=>[Subject: ][Date: 9 Apr 2004 14:46:08 +0100]=>(MIME part)=>(message body)
 Deleted
 
H:\Boîte de réception.dbx=>(message 51)=>[Subject: ][Date: 9 Apr 2004 14:46:08 +0100]=>(MIME part)
 Updated
 
H:\Boîte de réception.dbx=>(message 51)
 Updated
 
H:\Boîte de réception.dbx=>(message 51)=>[Subject: ][Date: 9 Apr 2004 14:46:08 +0100]=>(MIME part)=>dftlrck.exe
 Infected with: Win32.Swen.A@mm
 
H:\Boîte de réception.dbx=>(message 51)=>[Subject: ][Date: 9 Apr 2004 14:46:08 +0100]=>(MIME part)=>dftlrck.exe
 Deleted
 
H:\Boîte de réception.dbx=>(message 51)=>[Subject: ][Date: 9 Apr 2004 14:46:08 +0100]=>(MIME part)
 Updated
 
H:\Boîte de réception.dbx=>(message 51)
 Updated
 
H:\Boîte de réception.dbx
 Update failed
 
H:\Boîte de réception.dbx=>(message 146)=>[Subject: returned mail: user unknown][Date: Tue, 10 Feb 2004 11:06:19 +0100 (CET)]=>(MIME part)=>(message body)
 Suspected of: Exploit.Iframe.Vulnerability
 
H:\Boîte de réception.dbx=>(message 146)=>[Subject: returned mail: user unknown][Date: Tue, 10 Feb 2004 11:06:19 +0100 (CET)]=>(MIME part)=>(message body)
 Disinfection failed
 
H:\Boîte de réception.dbx=>(message 146)=>[Subject: returned mail: user unknown][Date: Tue, 10 Feb 2004 11:06:19 +0100 (CET)]=>(MIME part)=>(message body)
 Deleted
 
H:\Boîte de réception.dbx=>(message 146)=>[Subject: returned mail: user unknown][Date: Tue, 10 Feb 2004 11:06:19 +0100 (CET)]=>(MIME part)
 Updated
 
H:\Boîte de réception.dbx=>(message 146)
 Updated
 
H:\Boîte de réception.dbx=>(message 146)=>[Subject: returned mail: user unknown][Date: Tue, 10 Feb 2004 11:06:19 +0100 (CET)]=>(MIME part)=>arxcyfy.exe
 Infected with: Win32.Swen.A@mm
 
H:\Boîte de réception.dbx=>(message 146)=>[Subject: returned mail: user unknown][Date: Tue, 10 Feb 2004 11:06:19 +0100 (CET)]=>(MIME part)=>arxcyfy.exe
 Deleted
 
H:\Boîte de réception.dbx=>(message 146)=>[Subject: returned mail: user unknown][Date: Tue, 10 Feb 2004 11:06:19 +0100 (CET)]=>(MIME part)
 Updated
 
H:\Boîte de réception.dbx=>(message 146)
 Updated
 
H:\Boîte de réception.dbx
 Update failed

blondin777 · Answer

Salut

Quand tu branche ton dd, tu ne peux pas les effacer manuellement?

Damain Canals-Frau · Answer

Bonjour
Oui, ce que j'ai fait, j'ai envoyé tout le dossier à la poubelle et je l'ai effacé.
J'ai encore des petits disfonctionnements, mais dans l'ensemble cela va beaucoup mieux.
J'aimerais mettre le "Boot" comme il était à l'origine, sans toucher au reste. A cause d'une installation et desinstallation de BootMagic, quelque chose c'est déreglée, je pense.
Encore merci beaucoup blondin777
Cordialement DCF

blondin777 · Answer

Salut.

Pour modifier ton fichier de boot:

Appuies sur les touches start(ou logo windows)+ pause>>onglet matériel>>paramètre de démarrage et tu cliques sur modifier.

Ton fichier boot doit ressembler à ca:

Pour un XP Pro:

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect

Pour un xP Home:

[boot loader]]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP familiale" /fastdetect

A+