L'initialisation dll a échouée

Résolu
Hector 45 Messages postés 21 Statut Membre -  
papyber Messages postés 6430 Statut Contributeur sécurité -
Bonjour,

lorsque je ferme mon ordinateur le message suivant apparait:
SLOWCO_1.EXE- "L'initialisation de la DLL à échoué".
"l'application n'a pas pu s'initialiser car la station de travail est en train d'être arrêtée".

De plus j'ai un deuxième message:
"Fin du programme iexplorer.exe"
"Si vous choisissez d'arréter ce programme maintenant, vous perdrez toutes les données non enregistrées"
J'ai ce deuxième message même si je n'ouvre pas internet explorer !!!?

Pour le premier message j'ai pas mal regardé les forums, et si j'ai bien compris il s'agit d'un trojan ou spyware.
J'ai donc déjà fait pas mal de ménage:

1°) nettoyage des disques durs,
2°) nettoyage de la base de registre avec EasyCleaner
3°) passage de l'antivirus en ligne de Trend Micro : 1 virus + 3 cookies = supprimés
4°) passage de l'antitrojan A² (A Squared): 7 cookies = supprimés
5°) passage de l'antispyware Ad-aware: 2 cookies = supprimés
6°) passage de l'antispyware Spybot: 32 cookies = supprimés

Malgré tout ça les messages s'affichent toujours.
J'ai donc fait un scan avec Hijackthis et le rapport est joint ci-dessous:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:39, on 19/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
d:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rmctrl.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
D:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\system32\gearsec.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Mes documents\Hijackthis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8&gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - d:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [stupid creative poll axis] C:\Documents and Settings\All Users\Application Data\Memo save stupid creative\Mail Barb.exe
O4 - HKLM\..\Run: [a-squared] "d:\Program Files\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [real pure] C:\DOCUME~1\Bruno\APPLIC~1\DEADLE~1\slow cool.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SATARaid.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - d:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 8366 bytes

J'espère que vous pourrez m'aider

Merci d'avance pour vos réponses

PS: j'ai déjà fait un post hier, mais impossible de le retrouver !!!??
Configuration: Windows XP SP2
Internet Explorer 7.0

8 réponses

  1. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Télécharge LopXPMH sur ton Bureau.
    http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

    Dézippe-le et double clique sur le fichier lopxpMH.bat.
    Poste le contenu du rapport qui va s'ouvrir.

    Malwares qui installent lop et cid

    BitDownload
    BitGrabber
    BitRoll
    MessengerPlus! 3
    Messenger Plus! Live
    NetPumper
    TorrentQ
    Torrent101
    0
    1. Hector 45 Messages postés 21 Statut Membre
       
      Bonjour,

      Merci pour ta réponse.

      Ci-dessous le rapport de lopxpMH.bat:

      Rapport lopxpMH2 version 2.0 fait à 16:35:10,43 le 21/02/2008
      C:\Documents and Settings\Bruno\Bureau\lopxpMH2

      ******************************************
      ## Répertoires Application Data

      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est A4C0-B801

      Répertoire de C:\Documents and Settings\Administrateur\Application Data

      19/02/2008 16:01 <REP> .
      19/02/2008 16:01 <REP> ..
      19/02/2008 16:01 <REP> Microsoft
      19/02/2008 16:01 62 desktop.ini
      1 fichier(s) 62 octets
      3 Rép(s) 9 766 629 376 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est A4C0-B801

      Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

      19/02/2008 16:01 <REP> .
      19/02/2008 16:01 <REP> ..
      19/02/2008 16:01 <REP> Microsoft
      19/02/2008 16:23 3 184 656 IconCache.db
      1 fichier(s) 3 184 656 octets
      3 Rép(s) 9 766 625 280 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est A4C0-B801

      Répertoire de C:\Documents and Settings\All Users\Application Data

      03/10/2007 21:35 <REP> .
      03/10/2007 21:35 <REP> ..
      13/10/2007 13:31 <REP> Adobe
      13/10/2007 13:22 <REP> CanonBJ
      06/10/2007 13:02 <REP> CyberLink
      05/12/2007 17:56 <REP> Google
      19/02/2008 15:47 <REP> Lavasoft
      28/01/2008 16:37 <REP> Memo save stupid creative
      28/01/2008 16:36 <REP> Messenger Plus!
      03/10/2007 21:35 <REP> Microsoft
      19/02/2008 15:51 <REP> Spybot - Search & Destroy
      04/10/2007 18:08 <REP> Windows Genuine Advantage
      13/10/2007 12:15 <REP> Windows Live Toolbar
      22/12/2007 13:16 <REP> WLInstaller
      03/10/2007 21:36 62 desktop.ini
      1 fichier(s) 62 octets
      14 Rép(s) 9 766 625 280 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est A4C0-B801

      Répertoire de C:\Documents and Settings\Bruno\Application Data

      03/10/2007 20:45 <REP> .
      03/10/2007 20:45 <REP> ..
      13/10/2007 13:35 <REP> Adobe
      06/10/2007 13:15 <REP> Ahead
      13/10/2007 13:32 <REP> Canon
      28/01/2008 16:36 <REP> Dead Less Manager
      06/10/2007 15:18 <REP> Google
      03/10/2007 20:46 <REP> Identities
      17/01/2008 21:21 <REP> LimeWire
      06/10/2007 15:18 <REP> Macromedia
      03/10/2007 20:45 <REP> Microsoft
      07/01/2008 18:03 <REP> SecuROM
      18/02/2008 17:54 <REP> Sun
      06/10/2007 15:38 <REP> vlc
      03/10/2007 20:45 62 desktop.ini
      06/11/2007 10:28 17 144 GDIPFONTCACHEV1.DAT
      2 fichier(s) 17 206 octets
      14 Rép(s) 9 766 625 280 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est A4C0-B801

      Répertoire de C:\Documents and Settings\Bruno\Local Settings\Application Data

      03/10/2007 20:45 <REP> .
      03/10/2007 20:45 <REP> ..
      13/10/2007 13:32 <REP> Adobe
      06/10/2007 15:19 <REP> Google
      06/10/2007 14:14 <REP> Identities
      03/10/2007 20:45 <REP> Microsoft
      15/10/2007 15:34 14 336 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
      03/10/2007 21:05 29 448 GDIPFONTCACHEV1.DAT
      03/10/2007 20:48 7 950 438 IconCache.db
      3 fichier(s) 7 994 222 octets
      6 Rép(s) 9 766 625 280 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est A4C0-B801

      Répertoire de C:\Documents and Settings\Default User\Application Data

      03/10/2007 21:35 <REP> .
      03/10/2007 21:35 <REP> ..
      03/10/2007 21:35 <REP> Microsoft
      03/10/2007 21:36 62 desktop.ini
      1 fichier(s) 62 octets
      3 Rép(s) 9 766 621 184 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est A4C0-B801

      Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

      03/10/2007 21:36 <REP> .
      03/10/2007 21:36 <REP> ..
      0 fichier(s) 0 octets
      2 Rép(s) 9 766 621 184 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est A4C0-B801

      Répertoire de C:\Documents and Settings\LocalService\Application Data

      03/10/2007 20:45 <REP> .
      03/10/2007 20:45 <REP> ..
      03/10/2007 20:45 <REP> Microsoft
      0 fichier(s) 0 octets
      3 Rép(s) 9 766 621 184 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est A4C0-B801

      Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

      03/10/2007 20:45 <REP> .
      03/10/2007 20:45 <REP> ..
      03/10/2007 20:45 <REP> Microsoft
      0 fichier(s) 0 octets
      3 Rép(s) 9 766 621 184 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est A4C0-B801

      Répertoire de C:\Documents and Settings\NetworkService\Application Data

      03/10/2007 20:45 <REP> .
      03/10/2007 20:45 <REP> ..
      03/10/2007 20:45 <REP> Microsoft
      0 fichier(s) 0 octets
      3 Rép(s) 9 766 621 184 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est A4C0-B801

      Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

      03/10/2007 20:45 <REP> .
      03/10/2007 20:45 <REP> ..
      03/10/2007 20:45 <REP> Microsoft
      0 fichier(s) 0 octets
      3 Rép(s) 9 766 621 184 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est A4C0-B801

      Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

      03/10/2007 20:44 <REP> .
      03/10/2007 20:44 <REP> ..
      03/10/2007 20:44 <REP> Microsoft
      03/10/2007 20:44 62 desktop.ini
      1 fichier(s) 62 octets
      3 Rép(s) 9 766 621 184 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est A4C0-B801

      Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

      03/10/2007 20:44 <REP> .
      03/10/2007 20:44 <REP> ..
      03/10/2007 21:05 <REP> Microsoft
      0 fichier(s) 0 octets
      3 Rép(s) 9 766 621 184 octets libres

      ******************************************
      Recherche des taches planifiées dans C:\WINDOWS\tasks


      C:\WINDOWS\Tasks\A04F486D9184C201.job
       óÇK¡èæ@©·PfQ×(‡F Ö <
      s  "€!Ø    7 c : \ d o c u m e ~ 1 \ b r u n o \ a p p l i c ~ 1 \ d e a d l e ~ 1 \ g r i m t e a m o n c e . e x e  B r u n o   0 Ñ    <  

      C:\WINDOWS\Tasks\Norton
      Norton inexploitable


      C:\WINDOWS\Tasks\Vérifier
      Vérifier inexploitable

      ******************************************
      ## Répertoires de C:\Program Files

      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est A4C0-B801

      Répertoire de C:\Program Files

      14/02/2008 18:48 <REP> .
      14/02/2008 18:48 <REP> ..
      13/02/2008 21:27 <REP> Adobe
      03/10/2007 21:08 <REP> ATI Technologies
      13/10/2007 13:26 <REP> Canon
      28/01/2008 16:36 <REP> Circle Developement
      03/10/2007 20:40 <REP> ComPlus Applications
      08/12/2007 14:48 <REP> Cryo
      06/10/2007 13:02 <REP> CyberLink
      14/02/2008 18:48 <REP> Dead Less Manager
      19/02/2008 15:46 <REP> Fichiers communs
      05/12/2007 17:56 <REP> Google
      18/02/2008 17:56 <REP> Internet Explorer
      18/02/2008 17:54 <REP> Java
      17/01/2008 21:21 <REP> LimeWire
      06/10/2003 12:45 <REP> Messenger
      03/10/2007 20:42 <REP> microsoft frontpage
      03/10/2007 21:07 <REP> Microsoft.NET
      03/10/2007 21:00 <REP> Movie Maker
      03/10/2007 20:40 <REP> MSN
      03/10/2007 20:40 <REP> MSN Gaming Zone
      30/01/2008 14:11 <REP> MSN Messenger
      03/10/2007 20:58 <REP> NetMeeting
      05/02/2008 16:20 <REP> Norton Security Scan
      06/10/2003 12:44 <REP> Outlook Express
      03/10/2007 20:41 <REP> Services en ligne
      02/11/2007 23:02 <REP> Sierra On-Line
      03/10/2007 20:51 <REP> Silicon Image
      18/12/2007 08:33 <REP> Thomson
      28/01/2008 16:36 <REP> Windows Live
      30/11/2007 16:24 <REP> Windows Live Favorites
      30/11/2007 16:24 <REP> Windows Live Toolbar
      04/10/2007 18:10 <REP> Windows Media Connect 2
      06/10/2003 12:44 <REP> Windows Media Player
      03/10/2007 20:58 <REP> Windows NT
      03/10/2007 20:42 <REP> xerox
      0 fichier(s) 0 octets
      36 Rép(s) 9 766 600 704 octets libres

      ******************************************
      ## Popups autorisées

      * Internet Explorer

      ! REG.EXE VERSION 3.0

      HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
      host-domain-lookup.com REG_SZ
      www.host-domain-lookup.com REG_SZ
      mysearchnow.com REG_SZ
      www.mysearchnow.com REG_SZ
      searchweb2.com REG_SZ
      www.searchweb2.com REG_SZ

      * Mozilla Firefox (1 autorisé 2 interdit)

      ******************************************
      ## Registre

      * [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
      Search Bar REG_SZ http://www.google.com/toolbar/ie8/sidebar.html

      * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      stupid creative poll axis REG_SZ C:\Documents and Settings\All Users\Application Data\Memo save stupid creative\Mail Barb.exe

      * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      real pure REG_SZ C:\DOCUME~1\Bruno\APPLIC~1\DEADLE~1\slow cool.exe

      ******************************************
      ## Zones de sécurité

      * HKCU Domains (4)

      * P3P History (5)

      ******************************************
      ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


      *************** Fin du rapport ****************


      Je n'ai pas bien compris ta remarque: "Malwares qui installent lop et cid" ??

      A+

      Encore merci
      0
  2. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    1/ Télécharge : - CCleaner
    https://www.pcastuces.com/logitheque/ccleaner.htm
    ("Download Latest Version", sur la droite).
    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    2* Crée un nouveau document texte :
    clic droit de souris sur le bureau, "Nouveau"> "Document Texte".
    Ouvre-le et copie-colle dedans ce qui est ci-dessous, (copie tout d'un trait) :
    REGEDIT4
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "stupid creative poll axis"=-
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "real pure"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
    "host-domain-lookup.com"=-
    "www.host-domain-lookup.com"=-
    "mysearchnow.com"=-
    "www.mysearchnow.com"=-
    "searchweb2.com"=
    "www.searchweb2.com"=-

    Puis "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : reglop.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    *****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)
    Comment aller en Mode sans échec
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisi la première option : Sans Échec, et valide avec "Entrée"
    5) Choisi ton compte régulier, et non Administrateur *****

    désinstalle via "Ajout/Suppression de programmes", si tu trouves :
    (si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

    Dead Less Manager

    4/ Assure toi d'avoir accès aux dossiers/fichiers cachés :
    Ouvrir un dossier, n'importe lequel. Aller dans :
    Outils/Options des dossiers/Affichage et
    - cocher "afficher les dossiers et fichiers cachés",
    - décocher "masquer les extensions des fichiers dont le type est connu".
    - décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
    "appliquer" et "ok"

    recherche et supprime ces dossiers ou fichiers en gras:
    C:\Documents and Settings\All Users\Application Data\Memo save stupid creative
    C:\Documents and Settings\Bruno\Application Data\Dead Less Manager
    C:\Program Files\Dead Less Manager

    recache tes dossiers et fichiers en effectuant la manoeuvre inverse

    5/ démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :
    del /a C:\WINDOWS\Tasks\A04F486D9184C201.job

    valide par entrée, puis ferme la fenêtre de commande.

    6/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    7/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    *Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

    Je n'ai pas bien compris ta remarque: "Malwares qui installent lop et cid" ??

    C'est souvent en installant un de ces programmes que l'on se retrouve infecté
    0
  3. Hector 45 Messages postés 21 Statut Membre
     
    Bonsoir Papyber,

    Merci pour tes infos.

    J'ai efectué tout ce que tu m'as conseillé. La seule chose que je n'ai pas trouvé c'est le fichier uninstall dans C:\Program Files\dead less manager. Je ne l'ai pas trouvé non plus dans ajout/suppression de programme.

    Depuis il n'y a plus de message à l'arrêt du PC. Super: Merci beaucoup!!.

    J'en profite pour te demander autre chose:
    j'ai sur le bureau 5 dossiers appelés email1 (2/3/4/5) dans lesquels il y a des fichiers dbx (boite de réception, boite d'envoi, folders, offlines, brouillons, éléments envoyés, éléments supprimés, ....)

    Je voulais savoir si je pouvais les supprimer du bureau??

    Encore merci d'avoir résolu mon problème.
    0
  4. Hector 45 Messages postés 21 Statut Membre
     
    Rebonsoir papyber,

    J'ai oublié de te joindre le dernier rapport Hijacthis. Le voici ci-dessous:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:23:40, on 22/02/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16608)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    d:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\sstray.exe
    D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\rmctrl.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    D:\Program Files\a-squared Anti-Malware\a2guard.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
    C:\WINDOWS\system32\spoolsv.exe
    d:\Program Files\a-squared Anti-Malware\a2service.exe
    C:\WINDOWS\system32\gearsec.exe
    C:\WINDOWS\System32\svchost.exe
    d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Windows Live Toolbar\msn_sl.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe
    D:\Mes documents\Hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8&gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - d:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [a-squared] "d:\Program Files\a-squared Anti-Malware\a2guard.exe" /d=60
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: SATARaid.lnk = ?
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
    O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - d:\Program Files\a-squared Anti-Malware\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\system32\gearsec.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    je pense que oui
    lance hijack this pour un scan et coche les lignes suivantes
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: SATARaid.lnk = ?
    O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
    ferme toutes tes fenêtres y compris internet et clique sur fix checked

    Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
    http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
    Clique sur Recherche et laisse le scan se terminer.
    Clique sur Suppression pour finaliser.
    tu peux, si tu le souhaites, te servir des Options facultatives.
    Clique sur Quitter, pour que le rapport puisse se créer.
    Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

    faire un scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
    poster le rapport ici ensuite
    https://www.bitdefender.fr/

    En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    Dans la nouvelle fenêtre, clique sur j’accepte
    La fenêtre change encore, clique sur scanner
    Les signatures se chargent, etc.

    tuto en image
    http://pageperso.aol.fr/rginformatique/mapage/defender.htm

    ---

    0
  7. Hector 45 Messages postés 21 Statut Membre
     
    Bonjour,

    Ci-dessous le rapport de ToolCleaner:

    ->- Recherche:

    C:\Documents and Settings\Bruno\Bureau\LopXpMh2: trouvé !
    C:\Documents and Settings\Bruno\Recent\HijackThis.lnk: trouvé !

    ---------------------------------
    -->- Suppression:

    C:\Documents and Settings\Bruno\Recent\HijackThis.lnk: supprimé !
    C:\Documents and Settings\Bruno\Bureau\LopXpMh2: supprimé !

    De plus le scan de Bit defender m'a touvé 1 Trojan => supprimé

    Encore merci.
    0
  8. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    bon surf, en sécurité!
    0
  9. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    --

    tout vient à point à qui sait attendre
    pas de demande par MP svp
    0