Sujet Précédent Sujet Suivant

Interprétation rapport hijackthis pour ordinateur lent

Fermé
axbo - 14 déc. 2012 à 11:27
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 14 déc. 2012 à 20:52
Bonjour,



je viens de lancer hijackthis et je ne sais que faire du rapport, il est dit sur le net qu'il faut poster le rapport sur un forum. Ce que je fais donc ici.
En espérant une réponse et en remerciant+++ d'avance qui me répondra

Rappel pb : vieil ordinateur sous XP très lent depuis une dizaine de jours, restauration système tentée mais ne remontait qu'à 5 jours : échec de résolution du pb. Utilisation hijackthis maintenant: rapport plus bas.

Encore merci d'avance!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:17:25, on 14/12/2012
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrateur.AX.000\Mes documents\Téléchargements\01net_HijackThis.exe
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\nsj48.tmp\ProxyInstaller.exe
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\nsj48.tmp\SecondOffer1.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\nsj71.tmp\stub.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrateur.AX.000\Mes documents\Téléchargements\HiJackThis.exe
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\nst75.tmp\ns76.tmp
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\conduitinstaller.exe
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\nss78.tmp\ns79.tmp
c:\docume~1\admini~1.000\locals~1\temp\nsj71.tmp\ffpath.exe
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\nsc7B.tmp\ns7D.tmp
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\CT3128284\spff.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.wajam.com/index.php?firstrun=1&unique_id=17A5554BE44D70D375218B982D684E52&aid=6451&aid2=none&enabled=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Wajam IE BHO - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files\Wajam\IE\priam_bho.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [TkBellExe] "C:\program files\real\realplayer\update\realsched.exe" -osboot
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: WajamUpdater - Wajam - C:\Program Files\Wajam\Updater\WajamUpdater.exe
A voir également:

8 réponses

Réponse 1 / 8
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
14 déc. 2012 à 12:23
Salut,

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log
0
Réponse 2 / 8
axbo
14 déc. 2012 à 14:19
Bonjour,



Configuration: Windows XP / Firefox 13.0.1

encore merci à juju666 pour ses conseils, voici le lien vers le rapport prescan de winlogon. Que faire maintenant?
Merci beaucoup

https://forums-fec.be/upload/www/?action=d&id=7186125501
0
Réponse 3 / 8
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
14 déc. 2012 à 14:23
Re,
Super :)

Dans l'ordre :

Télécharge sur cette page: AdwCleaner (de Xplode)

▶ Lance-le

clique sur Suppression et patiente le temps du nettoyage.

▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

=======================

▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

▶ Exécute-le. Accepte la mise à jour.



Uniquement en cas de problème de mise à jour:

Télécharger mises à jour manuelles MBAM

● Exécute le fichier après l'installation de MBAM



▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

Si MBAM demande à redémarrer le pc : ▶ fais-le.

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
0
Réponse 4 / 8
axbo
14 déc. 2012 à 14:37
merci encore,

voici le rapport d'adwcleaner (il y en avait 2 ou 3, j'avais tenté ce logiciel hier je crois)

tu trouves ci-infra le rapport. je te précise juste avant que j'ai fait tout ça depuis le mode sans échec avec réseau, car sinon vu la lenteur de l'ordi c'était pas possible.
Et maintenant je me repenche ssur ta réponse d'il y a 10 minutes et je continue à suivre les instructions qui suivent l'envoi de ce rapport que tu me demandais.
Et encore merci de cette aide

# AdwCleaner v2.100 - Rapport créé le 14/12/2012 à 14:29:51
# Mis à jour le 09/12/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : AB - AX
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Documents and Settings\AB\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : WajamUpdater

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\DOCUME~1\Administrateur.AX.000\LOCALS~1\Temp\CT3128284
Dossier Supprimé : C:\Documents and Settings\AB\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Dossier Supprimé : C:\Documents and Settings\Administrateur.AX.000\Application Data\Mozilla\Firefox\Profiles\hmd3suz6.default\CT3128284
Dossier Supprimé : C:\Documents and Settings\Administrateur.AX.000\Application Data\Mozilla\Firefox\Profiles\hmd3suz6.default\extensions\{8e5025c2-8ea3-430d-80b8-a14151068a6d}
Dossier Supprimé : C:\Documents and Settings\Administrateur.AX.000\Application Data\Mozilla\Firefox\Profiles\hmd3suz6.default\Smartbar
Dossier Supprimé : C:\Documents and Settings\Administrateur.AX.000\Local Settings\Application Data\Conduit
Dossier Supprimé : C:\Documents and Settings\Administrateur.AX.000\Local Settings\Application Data\Wajam
Dossier Supprimé : C:\Documents and Settings\Administrateur.AX.000\Menu Démarrer\Programmes\Wajam
Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Program Files\Wajam

***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5D64294B-1341-4FE7-B6D8-7C36828D4DD5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3128284
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}
Clé Supprimée : HKLM\SOFTWARE\Classes\wajam.WajamBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\wajam.WajamBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wajam.WajamDownloader
Clé Supprimée : HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\ehdmaehkiiampolokajdcelladmnopgp
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wajam
Clé Supprimée : HKLM\Software\Wajam

***** [Navigateurs] *****

-\\ Internet Explorer v7.0.6000.17055

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v13.0.1 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\AB\Application Data\Mozilla\Firefox\Profiles\cl8f2u6v.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Nom du profil : default
Fichier : C:\Documents and Settings\Administrateur.AX.000\Application Data\Mozilla\Firefox\Profiles\hmd3suz6.default\prefs.js

Supprimée : user_pref("CT3128284.1000082.isDisplayHidden", "true");
Supprimée : user_pref("CT3128284.1000082.state", "{\"state\":\"stopped\",\"text\":\"RMC\",\"description\":\"RMC\[...]
Supprimée : user_pref("CT3128284.1000234.TWC_TMP_city", "MEUDON");
Supprimée : user_pref("CT3128284.1000234.TWC_TMP_country", "FR");
Supprimée : user_pref("CT3128284.1000234.TWC_locId", "FRXX2215");
Supprimée : user_pref("CT3128284.1000234.TWC_location", "Meudon, France");
Supprimée : user_pref("CT3128284.1000234.TWC_region", "FR");
Supprimée : user_pref("CT3128284.1000234.TWC_temp_dis", "c");
Supprimée : user_pref("CT3128284.1000234.TWC_wind_dis", "kmh");
Supprimée : user_pref("CT3128284.1000234.weatherData", "{\"icon\":\"11.png\",\"temperature\":\"8°C\",\"temperatu[...]
Supprimée : user_pref("CT3128284.3128284a129638404769606799000000paramsGK0.enc", "eyJ1cGRhdGVSZXFUaW1lIjoxMzU1ND[...]
Supprimée : user_pref("CT3128284.ENABALE_HISTORY", "{\"dataType\":\"string\",\"data\":\"true\"}");
Supprimée : user_pref("CT3128284.ENABLE_RETURN_WEB_SEARCH_ON_THE_PAGE", "{\"dataType\":\"string\",\"data\":\"tru[...]
Supprimée : user_pref("CT3128284.FirstTime", "true");
Supprimée : user_pref("CT3128284.FirstTimeFF3", "true");
Supprimée : user_pref("CT3128284.LoginRevertSettingsEnabled", false);
Supprimée : user_pref("CT3128284.RSS_Pub_Config.enc", "eyJzZXR0aW5ncyI6eyJpY29uIjoiaHR0cDovL3N0b3JhZ2UuY29uZHVpd[...]
Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000embeddedVersion.enc", "Mi40LjA=");
Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000lastReportTime.enc", "MTM1NTQ4MDMyNTYzOSA[...]
Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000newFeeds.enc", "bmV3RmVlZHM=");
Supprimée : user_pref("CT3128284.RevertSettingsEnabled", true);
Supprimée : user_pref("CT3128284.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT312[...]
Supprimée : user_pref("CT3128284.UserID", "UN82352992755141736");
Supprimée : user_pref("CT3128284.addressBarTakeOverEnabledInHidden", "true");
Supprimée : user_pref("CT3128284.autoDisableScopes", -1);
Supprimée : user_pref("CT3128284.browser.search.defaultthis.engineName", true);
Supprimée : user_pref("CT3128284.defaultSearch", "true");
Supprimée : user_pref("CT3128284.embeddedsData", "[{\"appId\":\"129638404645388048\",\"apiPermissions\":{\"cross[...]
Supprimée : user_pref("CT3128284.enableAlerts", "always");
Supprimée : user_pref("CT3128284.enableSearchFromAddressBar", "true");
Supprimée : user_pref("CT3128284.firstTimeDialogOpened", "true");
Supprimée : user_pref("CT3128284.fixPageNotFoundError", "true");
Supprimée : user_pref("CT3128284.fixPageNotFoundErrorInHidden", "true");
Supprimée : user_pref("CT3128284.fixUrls", true);
Supprimée : user_pref("CT3128284.hxxp___storage_conduit_com_marketplace_83_6d_8399d181_be98_42f2_b035_1616f61731[...]
Supprimée : user_pref("CT3128284.installId", "conduitinstaller.exe");
Supprimée : user_pref("CT3128284.installType", "conduitnsisintegration");
Supprimée : user_pref("CT3128284.isCheckedStartAsHidden", true);
Supprimée : user_pref("CT3128284.isEnableAllDialogs", "{\"dataType\":\"string\",\"data\":\"true\"}");
Supprimée : user_pref("CT3128284.isFirstTimeToolbarLoading", "false");
Supprimée : user_pref("CT3128284.isNewTabEnabled", true);
Supprimée : user_pref("CT3128284.isPerformedSmartBarTransition", "true");
Supprimée : user_pref("CT3128284.isToolbarShrinked", "{\"dataType\":\"string\",\"data\":\"false\"}");
Supprimée : user_pref("CT3128284.keyword", true);
Supprimée : user_pref("CT3128284.migrateAppsAndComponents", true);
Supprimée : user_pref("CT3128284.navigationAliasesJson", "{\"EB_SEARCH_TERM\":\"\",\"EB_MAIN_FRAME_URL\":\"hxxp%[...]
Supprimée : user_pref("CT3128284.openThankYouPage", "false");
Supprimée : user_pref("CT3128284.openUninstallPage", "true");
Supprimée : user_pref("CT3128284.revertSettingsEnabled", "false");
Supprimée : user_pref("CT3128284.search.searchAppId", "129638404645388048");
Supprimée : user_pref("CT3128284.search.searchCount", "0");
Supprimée : user_pref("CT3128284.searchInNewTabEnabledInHidden", "true");
Supprimée : user_pref("CT3128284.selectToSearchBoxEnabled", "{\"dataType\":\"string\",\"data\":\"true\"}");
Supprimée : user_pref("CT3128284.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"d[...]
Supprimée : user_pref("CT3128284.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"4\[...]
Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeCTID", "{\"dataType\":\"string\",\"d[...]
Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeDownloadUrl", "{\"dataType\":\"strin[...]
Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeToolbarName", "{\"dataType\":\"strin[...]
Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_invoked", "{\"dataType\":\"string\",\"data[...]
Supprimée : user_pref("CT3128284.serviceLayer_services_appTrackingFirstTime_lastUpdate", "1355480274707");
Supprimée : user_pref("CT3128284.serviceLayer_services_appsMetadata_lastUpdate", "1355480274383");
Supprimée : user_pref("CT3128284.serviceLayer_services_gottenAppsContextMenu_lastUpdate", "1355480283559");
Supprimée : user_pref("CT3128284.serviceLayer_services_login_10.13.40.15_lastUpdate", "1355481728978");
Supprimée : user_pref("CT3128284.serviceLayer_services_otherAppsContextMenu_lastUpdate", "1355480283523");
Supprimée : user_pref("CT3128284.serviceLayer_services_searchAPI_lastUpdate", "1355480269796");
Supprimée : user_pref("CT3128284.serviceLayer_services_serviceMap_lastUpdate", "1355480268936");
Supprimée : user_pref("CT3128284.serviceLayer_services_toolbarContextMenu_lastUpdate", "1355480275405");
Supprimée : user_pref("CT3128284.serviceLayer_services_toolbarSettings_lastUpdate", "1355480269934");
Supprimée : user_pref("CT3128284.serviceLayer_services_translation_lastUpdate", "1355480274393");
Supprimée : user_pref("CT3128284.settingsINI", true);
Supprimée : user_pref("CT3128284.shouldFirstTimeDialog", "false");
Supprimée : user_pref("CT3128284.smartbar.CTID", "CT3128284");
Supprimée : user_pref("CT3128284.smartbar.Uninstall", "0");
Supprimée : user_pref("CT3128284.smartbar.homepage", true);
Supprimée : user_pref("CT3128284.smartbar.isHidden", true);
Supprimée : user_pref("CT3128284.smartbar.toolbarName", "01NET.com ");
Supprimée : user_pref("CT3128284.startPage", "userChanged");
Supprimée : user_pref("CT3128284.toolbarBornServerTime", "14-12-2012");
Supprimée : user_pref("CT3128284.toolbarCurrentServerTime", "14-12-2012");
Supprimée : user_pref("CT3128284.twitter_v1.8.0_twitter_app_open_t_f.enc", "ZmFsc2U=");
Supprimée : user_pref("CT3128284_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\"[...]
Supprimée : user_pref("Smartbar.ConduitHomepagesList", "hxxp://search.conduit.com/?ctid=CT3128284&octid=CT312828[...]
Supprimée : user_pref("Smartbar.ConduitSearchEngineList", "01NET.com Customized Web Search");
Supprimée : user_pref("Smartbar.ConduitSearchUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3128284[...]
Supprimée : user_pref("Smartbar.keywordURLSelectedCTID", "CT3128284");
Supprimée : user_pref("browser.search.selectedEngine", "01NET.com Customized Web Search");
Supprimée : user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3128284&SearchSource=2&q=[...]
Supprimée : user_pref("smartbar.conduitHomepageList", "hxxp://search.conduit.com/?ctid=CT3128284&SearchSource=13[...]
Supprimée : user_pref("smartbar.conduitSearchAddressUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT[...]
Supprimée : user_pref("smartbar.originalHomepage", "hxxp://search.conduit.com/?ctid=CT3128284&octid=CT3128284&Se[...]

-\\ Google Chrome v23.0.1271.95

Fichier : C:\Documents and Settings\AB\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1231 octets] - [14/12/2012 00:42:34]
AdwCleaner[S1].txt - [1294 octets] - [14/12/2012 00:43:55]
AdwCleaner[S2].txt - [11699 octets] - [14/12/2012 14:29:51]

########## EOF - C:\AdwCleaner[S2].txt - [11760 octets] ##########
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
14 déc. 2012 à 14:42
super :)

en attente de MBAM :)
0
Réponse 6 / 8
axbo
14 déc. 2012 à 15:49
Resalut,

écoute y avait deux éléments suggérés par malwarebytes dont 1 seul coché, j'ai cocher l'autre et viré les deux.

je te mets en dessous le rapport après redémarrage comme tu m'as demandé (je note que dans le premier rapport, court, je n'ai pas vu apparaître mention des deux trucs que j'ai supprimé, enfin je crois).

Pour l'instant je n'use que du mode sans échec, est-ce un tort? (j'essaye de redémarrer normalement pour voir si y a un changement puis je reconsulte ta réponse si t'es toujours là)

Et puis...merci ter

Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.14.05

Windows XP Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 7.0.5730.13
AB :: AX [administrateur]

Protection: Désactivé

14/12/2012 14:41:40
mbam-log-2012-12-14 (14-41-40).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 295531
Temps écoulé: 28 minute(s), 48 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Documents and Settings\AB\Mes documents\Téléchargements\installer_driver_canon_canoscan_lide_50_2_08_Français_French.exe (PUP.SmsPay.pns) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\AB\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
Réponse 7 / 8
axbo
14 déc. 2012 à 16:04
je viens de redémarrer normalement : même lenteur, malheureusement.
Le mode sans échec fonctionne toujours aussi bien, ce qui me laisse penser malgré mes faibles connaissances que le problème vient des éléments au démarrage (quelle perspicacité!...;-) )

Je ne sais que faire: laisser cet ordi fonctionner en mode sans échec? est-ce risquer?(pas d'antivirus actif)

y-a-t-il une dernière manoeuvre à tenter?

Merci pour tout vraiment en tout cas
0
Réponse 8 / 8
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
14 déc. 2012 à 20:52
De retour

On va analyser plus loin :)

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
SAVEMBR:0

▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
0

Discussions similaires

écrire un rapport de travail
asi -
REGINALD -

3 réponses
j'ai renversé de l'eau sur mon pc portable
sardine -
moudubulbe -

14 réponses
Comment taper l'arobase sur un pc hp ?
kadem -
Tatopoulosse -

5 réponses