cristobal61

Hello Berfizan, 1. oui, en mode sans échec, dans la session Administrateur dans l'invite de commande. 2. Je m'étais basé sur la page hotline pc indiquée par pear, où il n'ya pas de guillemets dans les exemples donnés. Je viens de retenter avec les guillemets, mais le résultat est exactement le même : l'erreur système 1317 s'est produite. l'utilisateur spécifié n'existe pas.

Merci Berfizan et Pear pour vos indications. Après avoir attentivement lu la page envoyée par Pear, j'ai tenté la manip proposéepar Berfizan (en mode sans échec sous le compte Administrateur), voici ce que j'ai obtenu : net localgroup Administrateurs Christophe /add l'erreur système 1317 s'est produite l'utilisateur spécifié n'existe pas Le résultat est le même avec le groupe Utilisateurs. net user Comptes d'utilisateur de \\ Administrateur ASPNET Christophe HelpAssistant Invité SUPPORT_388945a0 SUPPORT_b326ad0c Des erreurs ont affecté l'exécution de la commande Il y a des erreurs dans l'exécution des 2 commandes, et apparemment le compte Christophe n'est pas bien reconnu. Par ailleurs, j'ai tenté un utilitaire indiqué dans le lien fourni par Pear, AccountView, toujours en mode sans échec et en Administrateur. Les différents comptes sont bien reconnus, les groupes aussi, mais le logiciel refuse d'appliquer les modifications demandées (à savoir ajouter le compte Christophe à un autre groupe), sans donner le moindre message d'erreur, sauf erreur de ma part. Que puis-je faire ? Créer un nouveau compte ? Merci de m'ider à y voir plus clair.

Merci pour ta réponse Xtrem3, En fait il ne s'agit pas de mot de passe perdu, d'autant que je n'utilise pas de mot de passe pour ma session (je suis le seul utilisateur de ce pc). J'ai bien tenté la manip que tu décris, et ai donc tenté de créer un mot de passe : mais le résultat est pire, dans la mesure ou le système ne peut pas démarrer sur ma session pour un problème de mot de passe faux, alors qu'il ne me le demande à aucun moment. J'ai renouvelé la commande net user Christophe *, et ai modifié à nouveau le mot de passe en le laissant vide. De cette façon au moins, ma session peut s'ouvrir. Par ailleurs, en tapant la commande net user Christophe, j'obtiens une liste de caractéristiques de mon compte, et ai remarqué notamment les 2 dernières lignes : Appartient aux groupes locaux : *Utilisateurs du débog Appartient aux groupes globaux : * Aucun A quoi correspondent ces 2 catégories de groupe ? Comment pourrais-je faire passer mon compte dans une catégorie au moins "utilisateur" ? Merci d'avance.

Bonjour, Je rencontre depuis quelques jours un problème quant au statut du compte que j'utilise sur windows XP (XP Home SP2). Etant le seul utilisateur de ce pc portable, je n'ai jamais eu à créer qu'un seul compte, lors de l'installation du système, et n'ai jamais eu de difficultés de droits pour l'installation de logiciels. Depuis quelques jours, je ne peux plus utiliser certaines fonctionnalités de certains logiciels (par ex graver avec Nero), ni installer quoi que ce soit. Je constate dans "Comptes d'utilisateurs" (via panneau de config) que mon compte présente le statut de "compte Invité". Il est probable que cette modification résulte d'une intervention de ma part sur les comptes, visant la suppression d'un compte ASP.NET créé à l'occasion d'une mise à jour de Framework. Je ne parviens pas à trouver le moyen de réattribuer à mon compte ses propriétés initiales, n'ayant pas accès à la configuration du compte (hormis la possibilité de créer un mot de passe, ou celle de changer d'image...). En démarrant en mode sans échec, j'ai bien accès au compte "Administrateur", mais celui-ci ne permet pas de gérer les propriétés de mon compte : la fenêtre Comptes Utilisateurs (dans panneau de config) ne propose que le compte Administrateur, et le compte Invité (qui n'est pas activé). Comment faire pour réaffecter à mon compte ses droits initiaux ? Merci à qui saura m'éclairer.

Salut, RAS depuis 3-4 jours maintenant, je ne m'en plains pas J'attendais d'avoir une nouvelle alerte pour te donner l'adresse exacte de la page internet en question, mais pour l'instant Antivir se tient tranquille... Ceci peut-être dû tout simplement à une mise à jour de l'antivirus lui-même, une correction aurait été apportée au fichier de définition de virus... non ?? Dans la très grande majorité des cas, l'alerte incriminait le fichier fadwithlandingspot[1].js, et intervenait à l'ouverture d'une page du site yahoo sport (parfois la page d'accueil, le reste du temps un lien à partir de celle-ci). Une recherche menée à l'instant par l'explorateur windows a trouvé pour seul résultat le fichier fadwithlandingspot.js (le nom diffère par le "[1]" juste avant l'extension) dans le Temporary Internet Files, l'icone correspondante est bien celle d'une page internet explorer. En remontant au répertoire contenant ce fichier (accessible via clic droit sur le nom du fichier trouvé), j'arrive très normalement au dossier Temporary Internet Files, lequel contient entre beaucoup d'autres un fichier fadwithlandingspot.js (l'icône correspondante correspondant à Dreamweaver), de type JScript Script File, et correspondant à l'adresse internet suivante : "http://eur.a1.yimg.com/java.europe.yahoo.com/eu/any/js/fadwithlandingspot.js" Donc voilà quelques nouveaux éléments sur notre affaire... mais pour l'instant (je touche du bois ), l'affaire en question est en sommeil, ça me va très bien comme ça !! Si ça t'inspire quelques commentaires, je suis preneur... Bonne continuation, à+.

Salut, Bac Français, c'est sérieux !! et beaucoup plus important que les petits soucis de mon pc (et ça me rappelle des souvenirs... douloureux... ) Pas de problème quant aux délais de réponse, c'est déjà très appréciable que tu sois aussi disponible et aussi réactif. J'ai fait une recherche par l'explorateur windows sur le fameux fichier "fadwithlandingspot[1].js"... - rien trouvé quand la recherche est effectuée sur ce nom de fichier entier - un fichier "fadwithlandingspot" a été trouvé dans Internet Temporary Files, je ne me souviens plus de l'extension, l'icone étant celle d'une page Internet explorer... Je ne sais plus bien ce que j'ai fait à ce moment là (mise en quarantaine, suppression ???), toujours est-il qu'une nouvelle recherche ne renvoie plus aucun résultat... :P Je pense que c'est un fichier constitutif d'une page internet, fichier qui s'introduit dans le répertoire Internet Temporary Files à chaque fois que je demande le chargement de la page en question... je vois la chose comme ça... En attendant, j'ai lancé Silent Runners. ça j'ai pas eu à le faire, après le téléchargement, j'ai juste eu à lancer le fichier .vbs... normal ? Voilà... si ça t'inspire quelque chose... Rapport SilentRunners "Silent Runners.vbs", revision 46, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Spamihilator" = ""C:\Program Files\Spamihilator\spamihilator.exe"" ["Michel Krämer"] "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "MessengerPlus3" = ""C:\Program Files\Messenger\MsgPlus.exe" /WinStart" ["Patchou"] "NBJ" = "*b" (unwritable string) [file not found] "msnmsgr" = ""C:\Program Files\MSN Messenger\msnmsgr.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "AtiPTA" = "atiptaxx.exe" ["ATI Technologies, Inc."] "CARPService" = "carpserv.exe" ["Conexant Systems, Inc."] "PreloadApp" = "c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d" [null data] "srmclean" = "C:\Cpqs\Scom\srmclean.exe" [null data] "Display Settings" = "C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s" ["Hewlett-Packard"] "QT4HPOT" = "C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE" ["Dritek System Inc."] "SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."] "SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."] "EPSON Stylus C44 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"" ["SEIKO EPSON CORPORATION"] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "LVCOMSX" = "C:\WINDOWS\system32\LVCOMSX.EXE" ["Logitech Inc."] "avgnt" = ""C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "Zone Labs Client" = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"] "MessengerPlus3" = ""C:\Program Files\Messenger\MsgPlus.exe"" ["Patchou"] "TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {206E52E0-D52E-11D4-AD54-0000E86C26F6}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll" ["FreshDevices Corp."] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration" -> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {HKLM...CLSID} = "Portable Media Devices" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{5E44E225-A408-11CF-B581-008029601108}" = "Adaptec DirectCD Shell Extension" -> {HKLM...CLSID} = "Adaptec DirectCD Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\Gravure\EASYCD~1\DirectCD\Shellex.dll" ["Roxio"] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{2F860D81-AF3C-11D4-BDB3-00E0987D8540}" = "UltimateZip Shell Extension" -> {HKLM...CLSID} = "UltimateZip Shell Extension 1" \InProcServer32\(Default) = "C:\PROGRA~1\ULTIMA~1.7\uzshlex.dll" [null data] "{2F860D82-AF3C-11D4-BDB3-00E0987D8540}" = "UltimateZip Drag Drop Handler" -> {HKLM...CLSID} = "UltimateZip Drag Drop Handler" \InProcServer32\(Default) = "C:\PROGRA~1\ULTIMA~1.7\uzshldr.dll" [null data] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook File Icon Extension" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS] "{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "My Logitech Pictures" -> {HKLM...CLSID} = "My Logitech Pictures" \InProcServer32\(Default) = "C:\Program Files\Logitech\Video\Namespc2.dll" ["Logitech Inc."] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"] HKLM\Software\Classes\PROTOCOLS\Filter\ INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] UltimateZip\(Default) = "{2F860D81-AF3C-11D4-BDB3-00E0987D8540}" -> {HKLM...CLSID} = "UltimateZip Shell Extension 1" \InProcServer32\(Default) = "C:\PROGRA~1\ULTIMA~1.7\uzshlex.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] UltimateZip\(Default) = "{2F860D81-AF3C-11D4-BDB3-00E0987D8540}" -> {HKLM...CLSID} = "UltimateZip Shell Extension 1" \InProcServer32\(Default) = "C:\PROGRA~1\ULTIMA~1.7\uzshlex.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\WINDOWS\compaq.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmyst.scr" [MS] Startup items in "Christophe" & "All Users" startup folders: ------------------------------------------------------------ C:\Documents and Settings\Christophe\Menu Démarrer\Programmes\Démarrage "Rainlendar" -> shortcut to: "C:\Program Files\Rainlendar\Rainlendar.exe" ["Rainy"] C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage "Adobe Gamma Loader.exe" -> shortcut to: "C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] "Lancement rapide d'Adobe Reader" -> shortcut to: "C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] Explorer Bars HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\ {FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = (no title provided) -> {HKLM...CLSID} = "&Rechercher" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {06FE5D05-8F11-11D2-804F-00105A133818}\ "ButtonText" = "Sites Perso" "MenuText" = "Compaq France" "Exec" = "http://compaqnet.ifrance.com/heberg/accueil" [file not found] {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Console Java (Sun)" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherche" Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/" Missing lines (compared with English-language version): [strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir Scheduler, AntiVirScheduler, "C:\Program Files\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] C-DillaCdaC11BA, C-DillaCdaC11BA, "C:\WINDOWS\system32\drivers\CDAC11BA.EXE" ["Macrovision"] Canon Camera Access Library 8, CCALib8, "C:\Program Files\Canon\CAL\CALMAIN.exe" ["Canon Inc."] EPSON Printer Status Agent2, EPSONStatusAgent2, "C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe" ["SEIKO EPSON CORPORATION"] ewido security suite control, ewido security suite control, "C:\Program Files\ewido anti-malware\ewidoctrl.exe" ["ewido networks"] HP Configuration Interface Service, HPConfig, "C:\WINDOWS\system32\HPConfig.exe" ["Hewlett-Packard"] HPWirelessMgr, HPWirelessMgr, "C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe" ["Hewlett-Packard Co."] SecuROM User Access Service (V7), UserAccess7, "C:\WINDOWS\system32\UAService7.exe" ["Sony DADC Austria AG."] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ EPSON V5 2KMonitor\Driver = "EBPMON2.DLL" ["SEIKO EPSON CORPORATION"] Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] PDF-XChange\Driver = "C:\WINDOWS\system32\pxc25pm.dll" ["Tracker Software"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 23 seconds, including 5 seconds for message boxes)

Salut, J'ai également essayé de chercher sur le sujet, mais rien trouvé de très clair non plus. Cependant, Spybot ne détecte plus FunWebProducts, je veux croire que l'action éventuelle de cet objet récalcitrant a été définitivement éteinte, c'est le principal (mais je n'en ai aucune certitude). Je n'ai pas retouché aux clés correspondantes qui subsistent donc dans le registre. En revanche, après quelques jours de tranquillité, le fameux HEUR/Exploit.HTML a fait sa réapparition via une alerte Antivir, toujours détecté au sein du fichier fadwithlandingspot[1].js au moment de l'ouverture d'une page internet. Ceci dit, pour l'instant, la fréquence de détection reste notablement plus faible qu'elle n'était il y a quelques jours, ça n'est pas trop handicapant. Qu'est-ce que celà peut bien signifier ? L'objet est passé au travers des opérations de nettoyage ? ou s'est-il réintroduit depuis ? ce qui me paraît étonnant, c'est que j'ai régulièrement consulté ce site internet ces derniers jours, après avoir utilisé les différents outils de nettoyage, sans que rien ne soit détecté... comme je comprends la chose, ce serait donc une page spécifique du site, consultée aujourd'hui et non ces derniers jours, qui amènerait le fichier fadwithlandingspot[1].js et son contenu suspect... Merci de me répondre si tu as quelques commentaires à faire, et bonne continuation. A+

Y a qu'à demander !! Plus trace de Fun Web Products pour Spybot, malgré la présence résiduelle de quelques clés dans le registre... Il y a bien l'apparition d'une rubrique Common Dialogs que je ne me souviens pas avoir vu jusqu'à maintenant, mais ça n'a pas l'air méchant. ça commence à sentir bon tout ça... Bonne nuit !!

Re, 1. En fait, je n'avais pas bien fait attention, ce mode Administrateurs active par défaut les modes lecture et contrôle total. En utilisant ce "nom d'utilisateur", j'ai donc pu supprimer sans autre problème supprimer les 2 clés suivantes : On avance, on avance !! 2. J'insère ci-dessous une capture de l'éditeur de registre. Comme tu peux le voir, la clé HKEY_USERS\.DEFAULT\Software\Fun Web Products n'existe pas. En revanche, les 4 répertoires entourés en rouge contiennent eux aussi des clés \Software\Fun Web Products... je serais bien tenté de les virer également, mais la plus élémentaire sagesse m'incite à te demander ton avis avant... Qu'en penses-tu ?

Re, 1. Pas de problème pour supprimer la clé HKEY_USERS\S-1-5-18\Software\Fun Web Products. 2. Pour les 2 clés suivantes : je n'ai pas la possibilité de sélectionner mon nom d'utilisateur , seuls 4 choix sont possibles, aucun ne m'autorisant lecture et contrôle total : - Administrateurs (CHRISTOPHE-V\Administrateurs) - RESTRICTED - SERVICE LOCAL - SYSTEM Faudrait-il passer par le mode sans échec ? 3. La clé semble ne pas exister, il n'y a pas de dossier Fun Web Products dans le répertoire HKEY_USERS\.DEFAULT\Software. Est-il possible qu'il soit caché ? ou que le fait d'avoir éliminé la clé dans mon paragraphe 1. ait éliminé celle-ci par la même occasion ? Je préfère attendre tes instructions avant de relancer un scan Spybot. Merci, à+

Re aussi, Merci de tes précisions concernant wmiprvse.exe, c'est le fait de ne jamais avoir été confronté à cette application auparavant qui m'avait fait suspecter quelque chose de louche. MSN semble fonctionner sans problème aujourd'hui, le problème rencontré hier était-il lié à cette demande d'accès à la zone sûre pour WMI ? peut-être que non finalement... Voilà la capture, en plus lisible. Il est donc nécessaire d'intervenr directement sur le registre, c'est bien ça ? J'avoue avoir été tenté une fois ou deux, mais me suis abstenu de peur de commettre un impair fâcheux... Merci, à+ PS: y a encore moyen d'éviter le bis repetita complet, restons optimistes ne sombrons pas trop vite dans un pessimisme déprimant...

Merci de ta réponse, Effectivement, y a pas mal de choses inutiles à enlever, ça fait longtemps que j'accumule sans prendre la peine de supprimer ce qui est inutile... je vais m'y atteler. Cependant, encore quelques petites observations, qui amènent d'autres interrogations... 1. J'ai suivi tes instructions concernant l'élimination des points de restauration antérieurs. Pas de pb. 2. Sur ma lancée, j'ai passé un petit coup d'ad-aware et de spybot... RAS à signaler côté ad-aware (qui m'a juste proposé d'éliminer quelques cookies récupérés aujourd'hui, pas de problème). En revanche, spybot retrouve des éléments FunWebProducts qu'il trouvait déjà depuis longtemps, mais que je pensais voir éliminées par "notre" nettoyage de ces derniers jours... Je pense que ces cochonneries sont liées à ce "Mywebsearch", qui nous avait donné un peu de fil à retordre. 3. J'ai constaté ce soir que je ne pouvais pas utiliser MSN messenger... je voyais mes interlocuteurs, mais mes messages ne pouvaient leur être distribués... bon, pas grave, peut-être une question de ports bloqués, ou de configuration, j'ai pas cherché plus loin. Mais à ce moment-là, ZoneAlarm m'alerte que "WMI tente d'accéder à la zone sûre", correspondant à l'application wmiprvse.exe. Pas le souvenir d'en avoir déjà entendu parler, et une rapide recherche google me donne des résultats tout à fait contradictoires : un processus windows d'un côté, un trojan de l'autre... ce wmiprvse.exe est présent dans le système dans le répertoire C:\WINDOWS\system32\wbem. Qu'en penser ? deviens-je trop méfiant ? 4. Sinon, antivir est resté tranquille, tant mieux. Merci de me donner ton avis éclairé quand tu pourras. PS : Pas wouhou.... la corée a égalisé, pour le résultat qu'on sait... ça sent pas très bon...

Antivir ne s'est pas signalé à nouveau pour l'instant, ça commence à sentir bon... Apparemment mon pc est sain, merci beaucoup tornado pour ton active contribution, et au-delà pour ta réactivité et la grande précision de tes conseils... quend on évolue sur ce genre de terrain, pour le moins dangereux pour qui n'est pas complètement averti sur le sujet, il est bien appréciable d'être guidé ainsi, et d'être bien pris en main. Pour prolonger nos échanges, j'aurais quelques autres conseils à te demander... Mon disque dur étant quasiment plein, j'envisage de faire un grand ménage de printemps : beaucoup de données à graver, pas de problème de ce côté là, et beaucoup de programmes à désinstaller. - Concernant la désinstallation d'un programme donné, vaut-il mieux utiliser l'option proposée dans le menu démarrer/tous les programmes (quand elle est disponible) ou passer par l'ajout/suppression de programmes du panneau de config ? - Une fois cette désinstallation effectuée, que faire pour éliminer les traces subsistantes ? par exemple peut-on éliminer manuellement le dossier dans C:\program files, quand il subsiste ? (je me pose la question en l'occurence au sujet de HijackThis, que je viens de désinstaller via le menu démarrer, mais le dossier est toujours présent dans c:\program files) - Par ailleurs, j'ai vu que des logiciels comme CCleaner ou jv16 notamment proposaient des options de désinstallation de programmes... faut-il privilégier ces outils ? Bref, je me pose encore pas mal de questions... Merci de m'éclairer une nouvelle fois si tu le peux. A+

Voilà, c'est fait... Apparemment Blacklight n'a rien trouvé à se mettre sous la dent (en 2 tentatives...). A signaler que je n'ai trouvé trace nulle part de "[X]scan through Windows Explorer ", que j'étais censé laissé activé... je n'ai eu qu'à lancer le scan. Rapport Blacklight : 06/17/06 21:37:06 [info]: BlackLight Engine 1.0.37 initialized 06/17/06 21:37:06 [info]: OS: 5.1 build 2600 (Service Pack 2) 06/17/06 21:37:07 [Note]: 7019 4 06/17/06 21:37:07 [Note]: 7005 0 06/17/06 21:39:26 [Note]: 7006 0 06/17/06 21:39:26 [Note]: 7011 1476 06/17/06 21:39:26 [Note]: 7026 0 06/17/06 21:39:26 [Note]: 7026 0 06/17/06 21:39:28 [Note]: FSRAW library version 1.7.1015 06/17/06 21:46:33 [Note]: 7007 0 Par ailleurs, aucun problème pour supprimer les 2 fichiers suspects. Merci, et bonne soirée.

Panda était censé les supprimer d'office ? Je vais en premier lieu appliquer ta nouvelle procédure, et donc supprimer manuellemant les 2 fichiers en question (quitte à le faire en mode sans échec si nécessaire). Je n'ai pas encore revu l'alerte d'Antivir, mais je n'ai pas utilisé mon pc suffisament longtemps aujourd'hui pour que ce soit réellement significatif. A+