Hoax.Win32.Renos.vaoz et plus si affinitésRésolu/Fermé

Question

Bonsoir,
Pour un certain nombre d'entre nous, les amateurs en informatique, ce site est un peu le Lourdes des désespérés...
D'avance, je m'excuse des imprécisions de mon vocabulaire et vous remercie.
Au risque d'être moins direct que certains internautes à la limite de l'impolitesse, je prends le risque de passer pour un bavard, espérant que ce récit trouve un semblant d'utilité pédagogique.
Comme tant d'autres, j'ai un ami qui possède internet. Depuis quelques temps, sa page d'accueil d'origine (google mozilla start) est devenu la page d'accueil MSN. D'autre part, le graphisme des caractères (les onglets notamment) sont devenus moins "fins". Enfin, la navigation sur internet est devenu relativement lente. C'est d'ailleurs à partir de ce moment que l'agacement à pousser mon ami à mettre mon nez dans le moteur. Il n'y connaît rien, moi à peine plus, mais depuis une semaine j'apprends.
Un peu plus concrètement, j'ai donc surfé pour comprendre :
1) problème graphique... Ah oui, je me souviens d'un truc genre SmitFraudFix qui m'avait bien dépanné (quand j'étais jeune)
1) comment forcer l'accès au mode sans échec (reboot)
2) comment récupérer l'accès à windows quand est malheurement passé par MSCONFIG et qu'on a plus à rien ! (SafeBootRepair!)
3) passage à tabac par a-squared, AVG anti-virus et antivir (ça peut pas faire de mal). Il y a eu aussi du Elibagle, ComboFix et du CCleaner, normalement dans le bon ordre.
4) ça semble aller mieux mais c'est encore un peu lent et il y a toujours le problème graphique et MSN en accueil donc on y retourne
5) Ah ! Tiens, le firewall d'origine est une passoire ? Bon ben, on va installer Sunbelt Personnal Firewall.
6) Ou là ! Ca à l'air terrible le Hijakthis. Allez je me plonge dans l'analyse des rapports... Ah ouais, c'est du boulot quand même, et puis il reste des lignes pas claires, c'est à dire : pas touche si je suis pas sûr.
7) Kaspersky  virus Removal Tool a l'air de bien dégommer; marrant, je croyais l'avoir déjà éliminé le trojan Win32.Renos.vaoz
8) La navigation est satisfaisante (mais pas encore comme avant) et SmitFraudFix a corrigé l'adresse d'accueil mais le graphisme reste suspect. On continue
9) Quoi ? Il ne faut surtout pas surfer en tant qu'administrateur. Ok, j'ouvre une autre session en comte limité... et le problème graphique semble absent ?
10) Je viens de refaire un coup de Kaspersky et je retrouve du Renos.Vaoz associé à des fichiers SmitFrauFix.
11) Je me résouds à appeler des renforts
Voilà un bon résumé de mes agissements, s'il vous faut des détails (!) ou des rapports (mieux), je suis à l'écoute

DeNisCoOl · Answer

salut bbeerrttrraanndd,


Les rapports Combofix, Smitfraudfix et Hijackthis aurait été intéressant (Elibagla optionnel)

- sa page d'accueil d'origine (google mozilla start) est devenu la page d'accueil MSN
Avez essayez de remettre la page d'accueil Google Mozilla?


- je retrouve du Renos.Vaoz associé à des fichiers SmitFrauFix. 
si je ne me trompes cela doit correspondre aux fichiers quarantaine de Smitfraudfix, donc rien de suspect à priori.


Les infections bagle bloque souvent le mode sans échec, par contre l'utilisation de Combofix doit être à éviter si l'on n'est pas sure de l'infection, car il est particulièrement puissant.
Dans le cas de Bagle il faut renommer Combofix lors de son installation car Bagle est capable de le bloquer.
------------
- Ne jamais utiliser le redémarrage en passant pas msconfig en cas d'infection votre machine pourrait redémarrer sans fin.
-- Vous pouvez commencer par réparer l'accès au mode sans échec, en téléchargeant :

    * l'utilitaire suivant : https://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe
    * Ou l'un de ces fichiers *.reg selon la version de windows :
http://www.assistepc.com/forum/reparer-le-mode-sans-echec-de-windows-vt867.html


------------
Si vos paramètres par défaut ont changé le fichier host a été détourné mais je ne penses pas que cela soit le cas car vous parlez de page d'accueil msn.
Si vous pensez que le problème est réel essayez toujours ceci:
- Télécharge Zeb-Restore 

http://telechargement.zebulon.fr/zeb-restore.html 
enregistre ce fichier sur le bureau. 

-Clic droit Zeb-Restore.zip ==> 
Extraire tout choisis comme lieu d'enregistrement le bureau. 
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe 
- Coche la case devant : Réinitialiser Fichier Hosts 
- Ne coche aucune autre case 
-Clique sur Restaurer 
-Redémarre ton PC 


- Pour changer la dimension de l'affichage dans votre navigateur utilisez les touches ctrl + ou - .
Sinon si vous avez eux un changement de résolution de votre graphique, pour le meilleur affichage possible dans votre bureau clic droit de souris menu propriété.
Affichage et sélectionner la plus haute résolution puis augmenter la taille des caractères dans vos programmes, car en faisant l'inverse les caractères seront légèrement fractionné donc moins bien défini.


A+


Denis

bbeerrttrraanndd · Answer

Merci Denis

(Leçon n°44 : les rapports sont utiles !)

Pour la page d'accueil, je crois l'avoir corrigé via Outils/Options/Général/Page d'accueil : rétablir la configuration par défaut (https://start.mozilla.org/fr/ D'ailleurs en navigation IE6, où je n'ai rien fait, la page d'accueil est MSN alors que celle annoncée en Options est : http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Cependant, depuis que j'ai réinstallé mozilla, j'ai ce message au lancement firefox : "trying to load a non-local URI"

Le mode sans échec est réparé depuis longtemps (rebuild et fastspeed ou quelque chose dans le genre), c'est d'ailleurs dans ce mode que j'ai effectué la plupart de mes actions.

J'ai téléchargé Zeb-Restore et executé puis redemarré. Pas de changement visible...

Reste le problème graphique (qui n'existe pas lorsque j'ouvre une autre session). Pour le décrire de façon exagérée, la diagonale centrale d'un " N " est plus un escalier qu'une belle ligne. Les paramètres d'affichage semblent les mêmes que ceux de la nouvelle session.

bbeerrttrraanndd · Answer

J'ai été un peu rapide, je pense avoir trouver comment régler la question du message au lancement de mozilla firefox (module megaupload...)

bbeerrttrraanndd · Answer

OK, le problème graphique serait un problème de police et de crénelage. J'ai pu corrigé le "démarrer" de la barre des tâches (propriétés/apparences/effets : cocher "utiliser la méthode suivante pour lisser les bords des polices écran" et choisir standard) mais pas le reste (nom des dossiers sur le bureau, caractères des onglets internet...).
Je suis sur l'anti-aliasing, hinting et sub-pixels rending. Quel programme !

( Quelqu'un a dit quelque part : c'est en forgeant qu'on devient moins nul en informatique )

A+

DeNisCoOl · Answer

c ça :)
j'imagines vous avez un écran ACL?
le rendu des caractères est plus délicat.

bye bye

Denis

bbeerrttrraanndd · Answer

Et oui pas encore couché !
Oui, c'est un LCD (Hyundai IT T91D Digital) et il a suffit de faire la même manip que plus haut et de choisir "clear type" au lieu de "standard" pour généraliser l'anti-crénelage. J'ai pas tout compris mais c'est beau. Reste à faire une bonne défragmentation pour voir si la navigation retrouve sa première jeunesse.

Merci Denis, Cooool...

DeNisCoOl · Answer

Re,


À faire également
-----------------------
- ToolsCleaner de A.Rothstein 
Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques

Télécharge le http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe sur ton Bureau. 
* Double-clique sur ToolsCleaner2.bat et laisse le travailler 
* Clique sur Recherche et laisse le scan se terminer. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options facultatives. 
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)


------------------------
- Mises à jours en particulier Adobe, Flash, et autres programmes.
Updatechecker : https://filehippo.com/windows/tuning-utilities/
Quelques détails ici pour l’installation en particulier de Framework:
http://www.commentcamarche.net/faq/sujet 9908 update checker vos logiciels sont ils a jour#update checker la solution

Pour les mises à Jour Java en particulier ici une version online de Secunia en anglais, mais il y a juste 1 ou 2 boutons à cliquer :
https://www.flexera.com/products/operations/software-vulnerability-management.html
Une petite explication dans ce lien (merci malekal). 

Et bien entendu windows update:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr


A+

bbeerrttrraanndd · Answer

Bonsoir,
( c'est en forgeant... )

Mon ami m'a confirmé que le graphisme était bien rétabli (content). Il me confirme aussi que la navigation est meilleure, certes, mais pas clairement celle d'avant. Il part deux jours en famille, a sauvegardé ses précieuses données et est prêt à m'entendre lui dire : j'ai fait une grosse connerie : la réinstallation complète de Windows semblent inévitable. Il me donne donc carte blanche ! J'étais reparti dans l'analyse passionnante des rapports hijackthis (non seulement, il faut fixer les bonnes lignes mais il faut aussi le faire en même temps... pfff ! je regrette les puzzles de mon fils) lorsque j'ai pensé repasser par ici.

Bien, je prends cette nouvelle intervention comme le signe d'un léger accompagnement dans mes aventures. Je vais donc continuer à commenter et jeter un coup d'oeil au courrier.
Je crois avoir déjà utiliser ToolsCleaner2.exe récemment. D'autre part, j'ai mis le nez dans l'ensemble des programmes installées : adobe flash doit être bon, j'ai supprimé les versions antérieurs de Java mais je vais suivre les instructions en y regardant de plus près.

A plus tard et merci


C'est sur, j'avais passé ToolsCleaner. Il n'y avait plus rien. Maintenant il y ajuste 2 fichiers Hijackthis (!).
Manque .NET Framework (glup ! Ça peut être une de mes victimes) pour lancer Update Cheker.
Ah... il faut Windows Installer 3.1 (encore moi ?)
C'est bon : Windows Installer 3.1 puis .NET Framework et enfin Update Checker. Verdict : 13 Updates plus 6 Updates beta, c'est parti.

bbeerrttrraanndd · Answer

Voilà, voilà, voilà, ça m'a l'air d'avoir fait du bien toutes ces updates (très bon cet utilitaire : update checker, curieusement IE7 et mediaplayerclassic reste à "updater") . A ce propos je me demandais s'il y avait des virus anodins chargés de décocher les différentes mises à jour afin de fragiliser lentement le système.

DeNisCoOl · Answer

Re,

Si vous voulez de l'aide, il faudrait des rapport car on parle plutôt dans le vide là.
Je pourrais vous aider car en général ne nombreux programme se lancent lors de l'ouverture de windows réduisant d'autant les ressources disponible.
Lignes O4 à fixer si inutile et lignes O23 (service ne pas fixer avec HJThis)


- Il me confirme aussi que la navigation est meilleure, certes, mais pas clairement celle d'avant.
Un passage de CCleaner, Nettoyage et Registre et une défragmentation devrait un peu aider.
Concernant firefox pour améliorer la navigation:
* Pour les cookies s'assurer de tout est correctement configurer, Outils / Options / Vie privée > 
* Cookies / Les conserver jusqu'à : la fermeture de firefox. 
* Vie privée cocher : Toujours effacer mes informations personnelles à la fermeture de Firefox. 

Voici un lien pour encore mieux optimiser la vitesse de navigation: 
http://www.commentcamarche.net/faq/sujet 852 firefox optimisation ameliorer les performances
ou automatiquement regarder ici: 
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/31802.html


- j'ai fait une grosse connerie : la réinstallation complète de Windows semblent inévitable.
Quel genre? Même si vous réinstallez windows les données personnelles ne seront pas perdu.
Pas besoin de formater.


.NET Framework (glup ! Ça peut être une de mes victimes)
Framework n'est pas installé par défaut, il est indiqué dans la procédure comment l'installer.


A+

bbeerrttrraanndd · Answer

Ok. D'abord voici le dernier rapport Hitjackthis en mode normal et toutes les applications fermées :
<gras>
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:48:34, on 14/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\filehippo.com\UpdateChecker.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Winamp Remote\bin\OrbTray.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Trend Micro\HHiittjjaacckktthhiiss\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [filehippo.com] "C:\Program Files\filehippo.com\UpdateChecker.exe" /background
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.google.com/?gws_rd=ssl
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{59E31F8B-2E39-4DFA-B1AD-0CD11C94E0BC}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{7ECB82AD-AE40-4985-8FD8-7BA34EE60247}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{B95365B8-D2FD-4744-8E80-2B65BB3D23CB}: NameServer = 208.67.220.220,208.67.222.222 
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: a-squared Free Service (a2free) - Unknown owner - C:\Program Files\a-squared Free\a2service.exe (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PGBUBX - Unknown owner - C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\PGBUBX.exe (file missing)
O23 - Service: QSNI - Unknown owner - C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\QSNI.exe (file missing)
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

bbeerrttrraanndd · Answer

Visiblement, Windows Update sous Mozilla est mauvaise idée. Internet Explorer 7 ne peut terminer l'installation, IE 6 ne peut être réinstallé car l'installation trouve des éléments plus récents (y compris après redémarrage) ! Ni l'un, ni l'autre n'apparaissent dans la fenêtre des aj/suppr de programmes (mise à jour cochée). Pas de répertoire INF dans Windows et Dial-a-fix n'a rien changé.

bbeerrttrraanndd · Answer

Bonjour,
 Il est vraiment bon ce malekal ! Le fichier ie7 (%windir%\ie7.log) étant introuvable, j'ai fait la manip fix.bat puis SubInACL de malekal (https://forum.malekal.com/viewtopic.php?f=3&t=7219&start=30&st=0&sk=t&sd=a ) et j'ai pu terminer l'installation d'IE7. Je m'en vais mettre à jour Windows avant de passer aux instructions de votre dernier message.

bbeerrttrraanndd · Answer

Et bien les mises à jour semblent un peu capricieuses. D'après https://www.flexera.com/products/operations/software-vulnerability-management.html , Java n'est pas à jour : "The detected version installed on your system is 6.0.10.6, however, the latest secure version released by the vendor, fixing one or more vulnerabilities, is 6.0.70.0", or lorsque je vérifie sur le site java, on m'annonce que la dernière version est active (confirmé dans la liste des programmes installés). Microsoft Outlook Express 6 réclame le KB951066, problème MS08-048: Security update, idem pour les 7 mises à jour pour Microsoft Windows XP Home Edition. Je vais appronfondir le sujet (je comprends pas encore très bien ce qu'est un registre ou encore une clé de registre mais j'ai l'impression que certaines choses dans ce domaine expliquent ces difficultés). A part cela, le pc me semble vraiment mieux (vitesse de navigation).

Quelqu'un a lu quelque part : crénelure : oui ; crénelage : c'est moins sur. (j'apprends aussi le français)

bbeerrttrraanndd · Answer

Le temps d'une petite course et l'arrêt du pc a lancé les updates windows (15 étapes). Sur software inspector, curieusement le message pour java reste le même : cela concerne t-il une version antérieure encore installée ? java tm se runtime environment 6 update 1 ?

DeNisCoOl · Answer

salut,

Encore du travail ;-)
De nombreuses lignes O4 et O23 inutile.
Pour améliorer la vitesse il faut désactiver certains services et clé au démarrage.
À vous de faire le choix dans la liste que je vous propose si vous utilisez quotidiennement certaines de ces applications.

Suivre la procédure suivante.
--------------------- 
1-> Démarrer 
-> Exécuter...  Ou touche windows + R
Taper Services.msc puis valider
Rechercher dans la liste les services suivant:
Service: a-squared Free Service (a2free)
Service: Apple Mobile Device
Service: Service Bonjour (Bonjour Service)
Service: Google Updater Service (gusvc) 
Service: InCD Helper (InCDsrv) 

Double cliquer sur le service voulu <=== Attention il y a d’autre service valide (ne pas y  toucher)
Type de démarrage : "Manuel" 
Cliquer en bas sur "Arrêter" 
Valider les changements. 

/ ! \Continuer la procédure même si vous ne trouvez rien/ ! \

Arrêter également les services suivant:
Service: PGBUBX
Service: QSNI

----- 
2-> Ouvrir Hijackthis puis: 
-> Open the Misc Tools Section 
-> Delete an NT Service 
Taper  PGBUBX puis valide. 

Et recommencer avec QSNI


-------------
Ensuite pour continuer concernant les lignes O4 :
http://www.fichepratique.com/window/dema.php

Cliquer sur démarrer, puis exécuter (ou touche windows + R) taper msconfig et dans l'onglet démarrage regarder dans la colonne Commande décocher les lignes des programmes que vous connaissez et que dont vous n'avez pas besoin au démarrage et valider.

Allez également sur Démarrer, Tous les programmes, Démarrage puis supprimez ce que vous n'avez pas besoin au démarrage.

Vous pouvez le faire également dans chaque programme en allant dans le menu propriété et/ou outils et/ou préférences et décocher: Démarrez avec Windows ou un message équivalent...

Relance HiJackthis clic sur Do a scan only et coches les lignes suivante. 

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

Fermes toutes tes applications et ton navigateur et clic sur Fix Checked.


-------------
D'après https://www.flexera.com/products/operations/software-vulnerability-management.html , Java n'est pas à jour 
C'est un peu le défaut de Secunia si il détecte une ancienne version et que la dernière version est quand même présente il va afficher ce message de mise à jour.
Il fait un contrôle séquentiel et non globale d'où cette erreur.


problème MS08-048: Security update, idem pour les 7 mises à jour pour Microsoft Windows XP Home Edition
Quel problème? Les mises à jour ne se font pas?
Les mises à jour sont numérotés et règles souvent des problèmes de sécurité, d'où leur nom.


Je vais appronfondir le sujet (je comprends pas encore très bien ce qu'est un registre ou encore une clé de registre mais j'ai l'impression que certaines choses dans ce domaine expliquent ces difficultés)
La base de registre pour faire un parallèle en comptabilité est un registre ou toutes les paramètres de bases sont accumulées pour chaque facettes du système et des différentes applications installé, comme une accumulation de petite brique que représente chaque clé.
Cette image se retrouve sur l'icône représentant les fichiers .reg qui modifient la BdR.


crénelage : c'est moins sur. 
non c'est bien le bon terme informatique, crènelure est plus un terme général.
https://www.notrefamille.com/


Il reste Firefox semble t-il qui pose encore problème?


J'allais oublier un autre chose, à moins que vous ne soyez en Californie en ligne O17 on peut remarquer que vous êtes victime d'un détournement de type Wareout:

Télécharger le FixWareout d'un de ces deux sites sur le bureau: 
http://downloads.subratam.org/Fixwareout.exe
http://download.bleepingcomputer.com/lonny/Fixwareout.exe

Lancer le fix: cliquer sur Next, puis Install, puis s'assurer que "Run fixit" est activé puis cliquer sur Finish. 
Le fix va commencer, suivre les messages à l'écran. Il sera demandé de redémarrer votre ordinateur. 
Le système mettra un peu plus de temps au démarrage, c'est normal. 

Quand le système aura redémarré, suivre les invites des messages.

A la fin du fix, il faudra peut-être encore redémarrer le PC.
Au final, poste le contenu du fichier C:\fixwareout\report.txt avec un nouveau rapport HiJackthis 


A+

bbeerrttrraanndd · Answer

Et bien ça, pour une réponse, c'est une réponse ! Encore merci.
Avant d'entamer ma nouvelle leçon, voici quelques faits. Comme dit plus haut les problèmes de mises à jour Windows ont tous été réglés à l'extinction du pc (chargement à la fermeture, message indiquant 15 étapes). A mon retour, j'allume le pc et secunia confirme l'actualisation.
Le sujet des registres reste en chantier...
La navigation internet est plutôt bonne, aussi bien avec IE que Mozilla.
Crènelure n'était pas dans le dico que j'avais consulté (vieux réflexe d'un autre temps...).
Enfin dernière curiosité : après avoir désinstallé le programme "bonjour" (il me semblait l'avoir déjà fait ?), je constate que l'option "masquer les icônes inactifs" ne fonctionne plus, cochée ou pas (barre des tâches déverrouillée) et la flèche de direction a disparu. Je découvre aussi que l'affichage de la zone de lancement rapide n'est plus possible. Je coche l'option sans effet et lorsque je retourne dans le menu, elle est de nouveau décochée. Création d'un nouveau fichier de registre (xp_save_settings.vbs) et utilisation du logiciel taskbar repair tools plus : statu quo. Je restaure le système avant de m'agacer : le problème des icônes inactives a disparu, pas celui de la zone de lancement. C'est alors que j'ouvre une session en compte invité : tout fonctionne parfaitement ! Ca ressemble à mon problème de graphisme et de ... crénelurationnage (aaahh, le vieux reflexe du dictionnaire). J'ai lancé un scan AVG-Antispyware :

C:\mdelk.EXE -> Heuristic.Win32.AVKiller : Ignoré.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@adtech[1].txt -> TrackingCookie.Adtech : Nettoyé.

Fin du rapport

durant lequel Avira a remué :

Exported events : (résumé puisque les 3 apparaissaient à chaque point)

15/08/2008 04:49 [Guard] Malware found
      Virus or unwanted program 'SPR/Tool.Hardoff.A [riskware]'
      detected in file 'C:\System Volume 
      Information\_restore{C208ABD7-D4F6-4E23-96BB-48DEA64EF4D9}\RP35\A0013203.exe.
      Action performed: Delete file

15/08/2008 04:48 [Guard] Malware found
      Virus or unwanted program 'TR/Dldr.Agent.aaar [trojan]'
      detected in file 'C:\System Volume 
      Information\_restore{C208ABD7-D4F6-4E23-96BB-48DEA64EF4D9}\RP35\A0011807.exe.
      Action performed: Delete file

15/08/2008 04:47 [Guard] Malware found
      Virus or unwanted program 'SPR/Tool.Reboot.C [riskware]'
      detected in file 'C:\System Volume 
      Information\_restore{C208ABD7-D4F6-4E23-96BB-48DEA64EF4D9}\RP35\A0010462.exe.
      Action performed: Delete file

Bon, je vais fixer quelques lignes, ça devrait mettre un peu d'ambiance.
A tout à l'heure (il est vrai que je possède une villa en Californie mais je ne crois pas y avoir installer de connexion internet, je cours vérifier)

Alors ça commence ainsi
Services.msc :

Service: a-squared Free Service (a2free)       manuel : ok  , arrêter : option indisponible (grisé)
Service: Apple Mobile Device                       manuel  : ok  , arrêter  :  ok 
Service: Service Bonjour (Bonjour Service)    manuel  : ok  , arrêter  : ok
Service: Google Updater Service (gusvc)      manuel  :  ok  , arrêter  :  ok
Service: InCD Helper (InCDsrv)                    introuvable
Question stupide : appliquer = valider les changements ?
Service: PGBUBX                                       manuel  : ok  , arrêter  :  ok
Service: QSNI                                           manuel  :  ok  , arrêter  :  ok

Ensuite Hijackthis (Misc Tools Section/Delete an NT Service) :
Message d'erreur dans les deux cas : en fonctionnement (!), terminer d'abord le processus. Lorsque je démarre le programme depuis Services.msc, j'ai un message de fichier introuvable  (?). Idem en mode sans échec. J'ai alors pris l'initiative de les déactiver. Visiblement, il ne rigole plus (!)

bbeerrttrraanndd · Answer

En examinant les programmes au démarrage, j'ai consulté la PacMan Startup List puis redémarrer en ayant décoché toutes les cases considérées comme non-indispensables selon Spybot&Destroy (reste seulement 10 programmes !). Le temps de démarrage est sans comparaison et le pc réagit très bien, y compris la navigation. L'affichage de la zone de lancement rapide est de nouveau possible mais plus l'option de masquer les icônes inactives (?).

bbeerrttrraanndd · Answer

Evidemment, certaines lignes 04 n'apparaissent plus, j'ai fixé les visibles. Redémarrage.

FixWareout effectué avec succès, voici le log :
Username "Propri‚taire" - 15/08/2008  7:30:48 [Fixwareout edited 9/01/2007]
~~~~~ Prerun check

Cache de résolution DNS vidé.

System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionun]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe "
"High Definition Audio Property Page Shortcut"="HDAShCut.exe"
"avgnt"="\"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe\" /min"
"!AVG Anti-Spyware"="\"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe\" /minimized"
"NvCplDaemon"="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"filehippo.com"="\"C:\Program Files\filehippo.com\UpdateChecker.exe\" /background"
"Orb"="\"C:\Program Files\Winamp Remote\bin\OrbTray.exe\" /background"
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Redémarrage, tout va bien. Flèche d'icônes actifs toujours invisible. Je décide d'exécuter tous les programmes non-lancés au démarrage. Spybot m'avertit que quicktime est associé d'autres fichiers. Ca tombe bien, il rame à l'ouverture. Désinstallation du cachotier et ... réapparition de la flèche des icônes actifs (!).

Je vais remettre tous les programmes qui se lançaient pour fixer les lignes disparues puis relancer le pc.
CCleaner puis Hijackthis et publication du log

bbeerrttrraanndd · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:20:44, on 15/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\filehippo.com\UpdateChecker.exe
C:\Program Files\Winamp Remote\bin\OrbTray.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HHIITTj\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [filehippo.com] "C:\Program Files\filehippo.com\UpdateChecker.exe" /background
O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{59E31F8B-2E39-4DFA-B1AD-0CD11C94E0BC}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{7ECB82AD-AE40-4985-8FD8-7BA34EE60247}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\..\{B95365B8-D2FD-4744-8E80-2B65BB3D23CB}: NameServer = 208.67.220.220,208.67.222.222 
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

DeNisCoOl · Answer

salut,


- Question stupide : appliquer = valider les changements ? 
Il n'y a jamais de question stupide, donc oui c'est bien cela : valider.


- Recommencer la procédure FixWareOut cette fois ci en fixant les 3 lignes O17 présent dans votre rapport HJThis.


- Je vois que vous avez résinstallé HJThis dans un autre répertoire C:\HHIITTj\HijackThis.exe ?
Évitez de faire ceci car si vous faites une erreur vous ne pourrez plus revenir en arrière après avoir fixé une ligne les archives seront perdu en cas de désinstallation surtout.


- la configuration du minimum de programme au démarrage de Windows" ? Le lancement plus long des logiciels non chargés ? 
Ce sera ça de plus à faire lors de l'ouverture des applications mais ne sera pas plus vite dans les faits.
Mais toutes les ressources que vous mobilisez à garder des applications inutilement en tâche de fond vous fait perdre du temps globalement sur une journée.


- Exécuté internet ou mozilla en tant que "invité" alors qu'on est dans une session administrateur sans mot de passe 
http://www.commentcamarche.net/faq/sujet 8052 mode administrateur ou utilisateur sous xp
Les hackers ne perdent plus leur temps à s'introduire dans une machine sauf les grandes institutions pour flatter leur ego de l'avoir fait.
Ils font travailler des applications à leur place automatiquement et les revendent auprès de société peu scrupuleuse qui récupèrent de grande quantité de données pour les revendre auprès de compagnie de marketing.
D'ailleurs on ne les appelle pas des hackers dans ces cas là, mais plus des pirates tout simplement.
http://www.commentcamarche.net/attaques/typologie pirates.php3


A+

bbeerrttrraanndd · Answer

Bonjour Denis,

Votre premier message se terminait par : "Attendez avant de crier victoire, on vous dira quand tout est propre ". Il va bien avec votre adage (j'ai le temps lire quelques informations) et témoigne d'une expérience certaine en matière d'informatique. Je pensais que ça allait mieux, voir bien ; les dernières heures écoulées m'ont parfois laissé dubitatif. L'installation des 5 logiciels préparant un hijackthis propre a révélé des comportements désagréable du système. C'est notamment l'installation de Spybot & Destroy qui a posé des difficultés.
Si le filtrage des programmes optionnels au démarrage (clé sur fond jaune) a visiblement optimisé le démarrage et le fonctionnement général du pc (ouverture instantanée des fenêtres), cet effet n'a pas duré. D'abord, la fameuse flèche des icônes inactifs a de nouveau disparu. Ensuite, j'ai un eu un ralentissement général. Après examen, la cause semblait venir du processus TeaTimer (en permanence entre 30 et 50% !). Prise d'info, désinstallation/réinstallation de spybot en décochant deux cases (à peu près ça: alerte sur les écritures de la BdR et gestion permanente du TeaTimer).
A présent, l'impression est flou (TeaTimer s'est calmé, la flèche des icônes est revenue).

En attendant de juger sur la durée, j'ai réinstallé Hijackthis (déplacement des backups) puis fixer les lignes 017 et repasser le Firewareout.
J'ai aussi placé Mozilla Firefox et Internet Explorer en DropMyRights (même si assiste.com.free.com n'est pas convaincu)
Je trouve le pc plus silencieux (encore la fatigue ?)

Je vais faire la préparation (Ad-Aware, Spybot, Cleanup, CCleaner et SmitFraudFix (?) ) avant de relancer un scan Hijack. Tiens la flèche des icônes a encore disparu (?).

A plus tard

bbeerrttrraanndd · Answer

Rebonjour,

Les 5 étapes ont été réalisées.
Spybot (mode sans échec) a du ignorer une série de fichiers infecté liés à des programmes en cours, la plupart localisés dans Winlogon (avec ce message : "the checksum could not be properly calculated!" dans le log)

La flèche (icônes inactifs) est réapparue au redémarrage après smitfraudfix puis s'est transformée en un petit carré flou puis plus rien (d'ailleurs, l'horloge n'est plus séparée des icônes). J'ai relancé la recherche smitfraufix et durant le processus, il m'annonce que l'accès à E:\ n'est pas valide. Renettoyage, redémarrage et Windows me demande d'installer les pilotes d'un périphérique inconnu. Placé en premier (juste au-dessus des cartes graphiques) dans le gestionnaire des périphériques. CD Windows, CD NVIDIA, site Windows updates, rien ne corrige ce problème. Seul info trouvée (dans le détail de ses propriètés : ROOT\LEGACY8_NPF\0000).
Au logoff de Cleanup, Windows propose deux sessions d'ouverture : la mienne et une autre nommé administrateur (inconnue, j'y ai ajouté un mot de passe).
Internet explorer par DropMyRights ne démarre plus. Pas de problème pour Mozilla. IE7 en administrateur ne pose pas de problème non plus.
J'ai désinstallé Adaware, Spybot, Cleanup et Smitfraudfix puis nettoyer avec ToolsCleaner. J'ai de nouveau défragmenter C en mode sans échec puis passé CCleaner jusque disparition des erreurs de registres. Voici le rapport de Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:13:04, on 16/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\filehippo.com\UpdateChecker.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Logitech\Video\AlbumDB2.exe
C:\Program Files\HHIIjack\HHIIjackTThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [filehippo.com] "C:\Program Files\filehippo.com\UpdateChecker.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.google.com/?gws_rd=ssl
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

DeNisCoOl · Answer

salut,

As tu toujours le parefeu Kerio?
Je vois juste les services mais pas le programme dans le log HJThis.


- Pour la barre de tâche voici quelque chose qui pourrait t'aider:
http://www.commentcamarche.net/telecharger/telecharger 34055391 taskbar repair tool plus


- Cliquer sur Démarrer --> Exécuter --> tapes: 
sfc /scannow bien ajouter l’espace (pour être sure copie et colle dans la fenêtre exécuter) 
Cela va restaurer les fichiers système dans leur état d'origine. 
Tu dois avoir les droits administrateur pour pouvoir lancer cette commande. 


- Ou sinon essayer cette commande en invite de commande (touche windows+R, taper cmd.exe et valider) ou en redémarrant en mode DOS :
chkdsk c: /p /r 
Lorsque vous exécutez la commande chkdsk, windows aura besoin du fichier Autochk.exe.
Pour ceci la console devra être installé ou il demandera l'utilisation du CD windows.
https://support.microsoft.com/en-us


A+

bbeerrttrraanndd · Answer

Bonjour,

Je (bbeerrttrraanndd) suis de retour pour l'après-midi. Je découvre que la fameuse flèche qui masque les icônes inactifs est revenue (magie ? motivation de mon ami ? arrêt/redémarrage de la machine ? instabilité ?).
Durant toutes ces manipulations, il y a eu une courte période durant laquelle le pc tournait vraiment bien. Je venais de réduire le nombre de programme au démarrage au minimum (avec l'outil de Spybot). Au redémarrage, les fenêtres s'ouvrait quasi-instantanément, y compris sur internet. C'est après quelques minutes que le ralentissement, presque pire qu'auparavant, est revenu.
Actuellement, ça semble aller mieux. AVG-Antispyware était inactif (expiration gratuité du service). Je l'ai donc désinstallé... et la souris s'est figée. Redémarrage : elle bouge de nouveau.

 ----------------------------------------------------------------------------------

Kerio ? C'est étrange. Je n'ai jamais eu de problème avec le pare-feu. Peut-être l'avais-je désactiver le temps du HJThis ?

Oui, j'avais déjà utiliser taskbar repair tool plus. La question ne pose plus pour l'instant (!).

sfc /scannow réaliser sans problème (Windows XP Familiale)

Je vais essayé de remettre les lancements internet en DropMyRights puis voir pour installer un autre anti-spyware (ou remettre AVG)

Vous ne dites pas si le rapport est sain. Je vais me replonger dans l'analyse en attendant votre réponse.

A plus tard

bbeerrttrraanndd · Answer

Voici ce que je trouve suspect :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
Oui, je vois bien qu'il ne resterait plus d'URL aucune ne correspond à ma page de démarrage (google.com)

les lignes
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
ne me plaisent pas non plus

Ah, oui, j'allais oublier. Concernant Kerio, le problème peut-il venir de l'installation de SPF4 (ou de l'expiration de la gratuité) ?

A demain

pepuce · Answer

mon problème est ; quand je clic sur '' check for updates '' de mon AVG 7.5 , la fenêtre "Recherche un dossier " s'ouvre et je ne peu pas faire mes mise a jour de mon anti verrus . Je ne sais psa quoi faire , mreci  a L'avance de me répondre

bbeerrttrraanndd · Answer

Bonjour,

Visiblement, il y a des problèmes de connexion avec le forum, je vais donc essayer de faire vite :
Les raccourcis via les touches F, l'activation du pavé numérique et la molette du volume ne se charge pas au démarrage (opérationnel une fois ouvert le setpoint settings de logitech)
Scan Trend Micro et Kaspersky en ligne demandent Java 5 ou plus. Java.com me confirme que Java 6 est bien installé.

Rapport de Panda Securité, scan en ligne :

Cookie/Xiti : It is a small text file stored on the computer when visiting web pages. Though it does not pose a risk by itself, malicious use by other software could threaten affected users' privacy. It does not spread automatically using its own means.

Application/NirCmd.A : It is a Potentially Unwanted Program, which can affect the users' consent, awarenes or control over the program. It does not spread automatically using its own means. 

MS07-058 : It is an important vulnerability in the remote procedure call (RPC) on Windows Vista/2003/XP/2000 computers, which allows to launch Denial of Service attacks
MS06-045 : It is an important vulnerability in Windows Explorer on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS07-016 : It is a group of vulnerabilities in Internet Explorer versions 5.01 on Windows 2000, 6 on Windows 2003/XP/2000 computers and 7 on Windows 2003/XP, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS07-057 : It is a group of vulnerabilities in Internet Explorer versions 5.01 and 6 SP1 in Windows 2000, 6 on Windows 2003/XP computers and 7 in Windows Vista/2003/XP, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS06-002 : It is a critical vulnerability in Embedded Web Fonts on Windows 2003/XP/2000/Me/98 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS06-041 : It is a group of vulnerabilities in the DNS resolution on Windows 2003/XP/2000 computers, which allow hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS07-013 : It is an important vulnerability in Microsoft RichEdit in several Office components, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS06-040 : It is a critical vulnerability in Server Service on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS07-012 : It is an important vulnerability in Microsoft OLE Dialog on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS07-069 : It is a group of vulnerabilities in Internet Explorer versions 5.01 and 6 SP1 in Windows 2000, 6 on Windows 2003/XP computers and 7 in Windows Vista/2003/XP, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS08-002 : It is an important vulnerability in LSASS on Windows 2003/XP/2000 computers, which allows local privilege escalation in the vulnerable computer
MS07-011 : It is an important vulnerability in Microsoft OLE Dialog on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS08-001 : It is a group of critical vulnerabilities in TCP/IP on Windows Vista/2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer and denial of service attacks to be launched
MS07-067 : It is a vulnerability in Macrovision Driver on Windows 2003/XP computers, which allows hackers to gain local privilege escalation
MS07-061 : It is a critical vulnerability in Windows URI handling on Windows XP/2003 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS18-018 : It is a group of vulnerabilities in the Distributed Transaction Coordinator on Windows 2003/XP/2000 computers, which allows Denial of Service attacks to be launched against vulnerable computers
MS07-064 : It is a group of critical vulnerabilities in different versions of DirectX on Windows Vista/2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS07-008 : It is a critical vulnerability in HTML Help ActiveX control on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS06-008 : It is an important vulnerability in Web Client Service on Windows 2003/XP computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user, or to perform a local privilege escalation attack
MS07-007 : It is an important vulnerability in Windows Image Acquisition Service on Windows XP Service Pack 2 computers, which allows hackers to gain local privilege escalation
MS06-007 : It is a vulnerability in the TCP/IP protocol on Windows 2003/XP computers, which allows hackers to launch remote Denial of Service attacks against the computer
MS06-065 : It is a moderate vulnerability in the Windows Object Packager on Windows 2003/XP computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS07-006 : It is an important vulnerability in Windows Shell on Windows 2003/XP/2000 computers, which allows hackers to gain local privilege escalation
MS06-006 : It is an important vulnerability in the Windows Media Player plug-in on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS06-001 : It is a critical vulnerability in Graphics Rendering Engine on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS06-064 : It is a group of vulnerabilities in the TCP/IP protocol v.6 on Windows 2003/XP computers, which allows Denial of Service attacks to be launched against vulnerable computers
MS06-032 : It is a vulnerability in the TCP/IP protocol driver on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS06-063 : It is a group of important vulnerabilities in the Server service on Windows 2003/XP/2000 computers, which allows to remotely execute arbitrary code in the vulnerable computer or to launch Denial of Service attacks
MS06-036 : It is a vulnerability in the DHCP client service on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS06-070 : It is a critical vulnerability in Workstation Service on Windows XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS06-035 : It is a group of critical vulnerabilities in Server Service on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user or to disclose information
MS06-030 : It is a group of vulnerabilities in Server Message Block (SMB) on Windows 2003/XP/2000 computers, which allows hackers to perform a local privilege escalation and denial of service attack in the vulnerable computer
MS07-046 : It is a critical vulnerability in Microsoft Windows graphics device interface (GDI) on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS07-045 : It is a group of vulnerabilities in Internet Explorer versions 5.01 on Windows 2000, 6 on Windows 2003/XP computers and 7 on Windows Vista/2003/XP, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS07-027 : It is a group of vulnerabilities in Internet Explorer versions 5.01 on Windows 2000, 6 on Windows 2003/XP/2000 computers and 7 on Windows Vista/2003/XP, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS07-043 : It is a critical vulnerability in OLE Automation on Windows 2003/XP/2000 computers, Office 2004 for Mac or Visual Basic 6, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS07-035 : It is a critical vulnerability in Win32 API on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS06-057 : It is a critical vulnerability in the Windows Shell on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS06-025 : It is a group of critical vulnerabilities on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user or local privilege elevation
MS07-033 : It is a group of vulnerabilities in Internet Explorer versions 5.01 on Windows 2000, 6 on Windows 2003/XP/2000 computers and 7 on Windows Vista/2003/XP, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS07-031 : It is a critical vulnerability in the Windows Schannel Security Package on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user or denial of service attacks to be launched
MS06-022 : It is a critical vulnerability in ART Image Rendering Library on Windows 2003/XP/Me/98 computers and on Internet Explorer 5.01 or 6 on Windows 2000, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS06-015 : It is a critical vulnerability in Windows Explorer on Windows 2003/XP/2000/Me/98 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS07-017 : It is a group of vulnerabilities in the Graphics Device Interface (GDI) on Windows Vista/2003/XP/2000 computers, which allows hackers to execute remote code, perform a local privilege escalation and denial of service attack in the vulnerable computer
MS06-053 : It is a moderate vulnerability in Windows 2003/XP/2000 computers, which allows hackers to launch cross-site scripting attacks
MS06-052 : It is an important vulnerability in the Pragmatic General Multicast protocol on Windows XP computers, which allows code to be remotely executed
MS05-049 : It is a group of important vulnerabilities on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS07-022 : It is a vulnerability in Windows Kernel on Windows 2003/XP/2000 computers, which allows hackers to gain local privilege escalation
MS07-021 : It is a group of vulnerabilities in the Client/Server Run-time Subsystem (CSRSS) on Windows Vista/2003/XP/2000 computers, which allows hackers to execute remote code, perform a local privilege escalation and denial of service attack in the vulnerable computer
MS07-020 : It is a critical vulnerability in Microsoft Agent on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS05-051 : It is a group of vulnerabilities on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user, local privilege elevation or launch denial of service attacks
MS07-019 : It is a vulnerability in the Universal Plug and Play (PnP) service on Windows XP computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS05-053 : It is a group of vulnerabilities on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user, or launch denial of service attacks
MS05-050 : It is a vulnerability in DirectX versions 7.0, 8.0, 8.1, 8.2 and 9.0 on Windows 2003/XP/2000/Me/98 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user
MS06-051 : It is a group of critical vulnerabilities in Windows kernel on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user or local privilege escalation
MS06-076 : It is an important vulnerability in several versions of Outlook Express on Windows 2003/XP/2000 computers, which allows to remotely execute arbitrary code in the vulnerable computer
MS06-075 : It is a vulnerability on Windows 2003/XP computers, which allows hackers to gain local privilege escalation
MS06-046 : It is a critical vulnerability in HTML Help ActiveX control on Windows 2003/XP/2000 computers, which allows hackers to gain remote control of the affected computer with the same privileges as the logged on user

Je pense revenir jusque la fin de la semaine. La semaine prochaine j'étudie la question de la réinstallation de Windows...

DeNisCoOl · Answer

salut,


Les raccourcis via les touches F, l'activation du pavé numérique et la molette du volume ne se charge pas au démarrage (opérationnel une fois ouvert le setpoint settings de logitech) 
Vous bidouillez beaucoup dans le démarrage avec Spybot si je ne me trompes, cela vient peut être de ça.
Il faudrait peut être réactiver certains services ou clé de démarrage concernant logitech.


- Rien de suspect dans leslignes, vous pouvez toujours regarder ici:
https://forum.pcastuces.com/sujet.asp?f=25&s=1244
https://www.bleepingcomputer.com/tutorials/comment-utiliser-hijackthis/#O9Diag

Vous pouvez faire une recherche des CLSID sur le site de castlecops une référence très utile.
http://www.castlecops.com/CLSID.html

le seul suspect: 2318C2B1-4965-11d4-9B18-009027A5CD4F il ne serait pas légitime si il s'était retrouvé dans une ligne O2 - BHO et associé au fichier googletoolbar1.dll ce qui n'est pas le cas.
Celle ligne O3 correspond au bouton de recherche Google de IE.


- À propos de Panda il indique souvent ce genre de message à propos des failles Windows je ne prendrais pas ça pour argent comptant.


A+


Denis

bbeerrttrraanndd · Answer

Bonsoir Denis,

Pour ce qui est Spybot, j'avais déactivé tous les programmes qu'il considérait comme non-indispensables au démarrage. J'ai cru pendant quinze minutes que le pc tournait mieux puis découvert qu'en lançant quicktime, le problème d'icônes inactifs réapparaissait. Finalement un nouveau ralentissement dans la navigation m'a convaincu que le problème n'était pas résolu. J'ai donc tout réactivé via Spybot. La bidouille, c'est surtout sur mon vieux pc.

Si je comprends correctement ce que vous me dites, le scan Panda est "normal" (d'ailleurs, celui de Kaspersky, que j'ai finalement réussi à faire, est propre aussi) et le rapport Hijackthis plutôt sain.
J'en déduis que tous les petits problèmes (java, clavier, navigation) sont donc surtout des questions d'installations. Tant mieux ! (le Hoax.Win32.Renos.vaoz est donc loin). Beaucoup de questions restent pourtant en suspens mais on ne peut pas comprendre en quelques jours ce qui s'apprend année après année.

Je vous remercie de votre aide

DeNisCoOl · Answer

Re,

J'en déduis que tous les petits problèmes (java, clavier, navigation) sont donc surtout des questions d'installations.
Oui je penses.


Scan Trend Micro et Kaspersky en ligne demandent Java 5 ou plus. Java.com me confirme que Java 6 est bien installé. 
Je viens de comprendre, vous avez confondu je penses, il devait parler de Java mais surtout de Internet Explorer.
La technologie Microsoft ActiveX et Kaspersky On-line Scanner ne fonctionnent qu'avec MS Internet Explorer 5.0 ou supérieur.

Panda lui est un des rares à fonctionner sur Firefox et IE.

A+

Hoax.Win32.Renos.vaoz et plus si affinités

31 réponses

Discussions similaires

Newsletters