Philou22

Bonsoir tomtom95, J'ai 2 questions à te poser: 1) Faut il que je garde un compte administrateur et que je passe les 3 autres en tant qu'utilisateur? 2) "Pour faire une analyse SFC il faut le CD de XP". En fait, je mets le CD de restauration (je ne risque rien à la mettre dans le lecteur même si ce n'est pas le CD de restauration d'XP?) ou le CD ISO de XP dans le lecteur et puis je lance la commande sfc/scannow? C'est bien la manip à effectuer? A+

Re tomtom95, 1) En complément de mon précédent Post, j'ai fait un Scan complet des sessions via Antivir et aucune infection trouvée... 2) Vu qu'il n'y a pas eu d'amélioration, j'ai fait un chkdsk puis redémarrage du PC. Pas d'amélioration... A+

Bonsoir tomtom95, 1)J'ai désactivé les émulateurs de CD via DeFogger mais le PC est toujours aussi lent au démarrage... A voir s'il faut réactiver les émulateurs de CD! 2)Je vais faire un examen complet via Antivir sur toutes les sessions mais cela va prendre un peu de temps! 3)Puis je ferai un Scandisk. 4)J'ai cherché et j'ai trouvé un CD de Restauration qui je pense est peut-être celui de l'OS. Merci de ton aide, A+

Re Tomtom95, 1) En fait, je n'arrive plus à installer OTL sur aucune de mes sessions car il me met toujours la même erreur repertoriée ci-dessous... 2)Je te poste les Scan Delfix et SFT des 3 autres sessions : Lien CJoint.com BJcafziJmcw Lien CJoint.com BJcaghiJYeX Lien CJoint.com BJcagPboBAB Lien CJoint.com BJcahMY4LJ5 Lien CJoint.com BJcaidYUG9E Lien CJoint.com BJcaiEVqlFN Lien CJoint.com BJcajy3rtjV Lien CJoint.com BJcajTaoqlu Lien CJoint.com BJcakkfXDA0 3)Mis à jour Adobe Flash Player plug in sur les 4 sessions (Version affichée sur Revouninstaller). A noter que j'avais la dernière version Adobe Flash Player Active X! 4)Je n'ai pas fait de Scan avec Antivir depuis très longtemps sur les autres sessions. Je pensai que cela suffisait de le lancer sur une seule session... 5)Pas de Backups sur C:\Windows\system32\drivers\etc. Désinstallation HpHosts via Revouninstaller. Remis fichier Hosts par défaut via MyHosts.exe. Voici le rapport: ** Rapport MyHosts.txt ** MyHosts V.1.0.0.2 de jeanmimigab Merci à la team MH, W-T ,C_XX, Laddy et à Batch_man pour leurs aides Résultat de l'opération:restauration du fichier hosts réussi... ** Fin du rapport ** 6) Vu l'heure, je finirai la manip. demain... Mais tu mets après DeFogger de "ne pas réactiver ces pilotes avant de savoir si c'est la cause du problème", mais cela ne va t-il pas me provoquer des dysfonctionnements? A+

Bonjour tomtom95, 1) J'ai, je pense, désinstaller complètement UPHClean via RevoUninstaller. 2) Je te communique le rapport SFT : Lien CJoint.com BJbjlG0eIah 3) Je te communique le rapport Security Check : Results of screen317's Security Check version 0.99.51 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Avira Free Antivirus Avira successfully updated! `````````Anti-malware/Other Utilities Check:````````` hpHosts Malwarebytes Anti-Malware version 1.65.0.1400 CCleaner Java 7 Update 7 Adobe Flash Player 11.4.402.265 Adobe Reader X (10.1.4) Mozilla Firefox (15.0.1) ````````Process Check: objlist.exe by Laurent```````` Avira Antivir avgnt.exe Avira Antivir avguard.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: 1% ````````````````````End of Log`````````````````````` 4) Je vais supprimer les outils via OTL (j'avoue que au préalable je supprimais simplement les outils en les mettant dans la corbeille vu qu'ils n'apparaissaient pas sur Revouninstaller): En cliquant sur Purge outils de OTL il bloque sur Access violation at adress CCCC0460. Read of Adress CCCC0460. J'ai cliqué sur Ok. Mais au bout de 10mn vu qu'il ne se passe rien, j'ai fermé l'application. 5) Je te communique les 2 rapports Delpix : # DelFix v9.0 - Rapport créé le 01/10/2012 à 09:38:10 # Mis à jour le 23/09/12 par Xplode # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits) # Nom d'utilisateur : PASCAL - P*** (Administrateur) # Exécuté depuis : C:\Documents and Settings\PASCAL\Bureau\delfix.exe # Option [Recherche] ~~~~~~ Dossiers(s) ~~~~~~ Présent : C:\ZHP Présent : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP Présent : C:\Program Files\ZHPDiag ~~~~~~ Fichier(s) ~~~~~~ Présent : C:\Documents and Settings\PASCAL\Bureau\JavaRa.exe Présent : C:\Documents and Settings\PASCAL\Bureau\OTL.exe Présent : C:\Documents and Settings\PASCAL\Bureau\SecurityCheck.exe Présent : C:\Documents and Settings\PASCAL\Bureau\ZHPDiag2.exe Présent : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk Présent : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk Présent : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk ~~~~~~ Registre ~~~~~~ Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP Clé Présente : HKLM\SOFTWARE\OldTimer Tools Clé Présente : HKLM\SOFTWARE\AdwCleaner Clé Présente : HKLM\SOFTWARE\Soeperman Enterprises Ltd. Clé Présente : HKLM\SOFTWARE\Swearware Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1 ~~~~~~ Autres ~~~~~~ ************************* DelFix[R1].txt - [1422 octets] - [01/10/2012 09:38:10] ########## EOF - C:\DelFix[R1].txt - [1546 octets] ########## # DelFix v9.0 - Rapport créé le 01/10/2012 à 09:39:58 # Mis à jour le 23/09/12 par Xplode # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits) # Nom d'utilisateur : PASCAL - P*** (Administrateur) # Exécuté depuis : C:\Documents and Settings\PASCAL\Bureau\delfix.exe # Option [suppression] ~~~~~~ Dossiers(s) ~~~~~~ Supprimé : C:\ZHP Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP Supprimé : C:\Program Files\ZHPDiag ~~~~~~ Fichier(s) ~~~~~~ Supprimé : C:\Documents and Settings\PASCAL\Bureau\JavaRa.exe Supprimé : C:\Documents and Settings\PASCAL\Bureau\OTL.exe Supprimé : C:\Documents and Settings\PASCAL\Bureau\SecurityCheck.exe Supprimé : C:\Documents and Settings\PASCAL\Bureau\ZHPDiag2.exe Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk ~~~~~~ Registre ~~~~~~ Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools Clé Supprimée : HKLM\SOFTWARE\AdwCleaner Clé Supprimée : HKLM\SOFTWARE\Soeperman Enterprises Ltd. Clé Supprimée : HKLM\SOFTWARE\Swearware Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1 ~~~~~~ Autres ~~~~~~ -> Prefetch Vidé ************************* DelFix[s1].txt - [1458 octets] - [01/10/2012 09:39:58] ########## EOF - C:\DelFix[s1].txt - [1582 octets] ########## La suite dans la fin de ce msg... Pour la suppression des Outils, à voir le Pb avec OTL 6) Pas de boutons jaunes ou ? sur le gestionnaires de périphériques. 7) Je n'ai comme processus à 2% du processeur que explorer.exe ou taskmgr.exe et au niveau de l'Util. de la mémoire c'est largement firefox.exe qui est devant. Je viens de me rendre compte que l'icone OTL et SecurityCheck ont disparu du bureau. Je viens de retélécharger OTL et en le lançant il me detecte la ma même erreur que ci-dessus et absent au redémarrage du PC... A+

Bonsoir tomtom95, 1)Je te communique le rapport TDSSKiller que j'ai lancé sur ma session (faut il le lancer sur toutes les sessions?): Le Scan n'a trouvé que des ("Suspicious objects") que j'ai mis en quarantaine. Voici le rapport en lien : Lien CJoint.com BIEt4gIQyYm A+

Re tomtom95, 1)Je te communique les 6 liens correspondants aux Scans Roguekiller: Lien CJoint.com BIDxySUc4nX Lien CJoint.com BIDxAPgEZf4 Lien CJoint.com BIDxBeTmeYJ Lien CJoint.com BIDxBH0XF0I Lien CJoint.com BIDxCafLuNv Lien CJoint.com BIDxCApQ92X 2)CR des scans option rapide via MBAM sur toutes les sessions: Sur session P*** aucune infection Sur session Y***: Registry Keys Detected: 1 HKCU\Software\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully. Sur session H***: Registry Values Detected: 4 HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} (Adware.MywaySearch) -> Data: -> Quarantined and deleted successfully. HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser|{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} (Adware.MywaySearch) -> Data: ÙДàø­A’£NÎp¬ -> Quarantined and deleted successfully. HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} (Adware.MywaySearch) -> Data: ÙДàø­A’£NÎp¬ -> Quarantined and deleted successfully. HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} (Adware.MywaySearch) -> Data: -> Quarantined and deleted successfully. Sur session S***: Registry Values Detected: 2 HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} (Adware.MywaySearch) -> Data: -> Quarantined and deleted successfully. HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} (Adware.MywaySearch) -> Data: ÙДàø­A’£NÎp¬ -> Quarantined and deleted successfully. Conclusion: Malheureusement pas d'amélioration au démarrage du PC Merci pour ton aide A+

Bonsoir tomtom95, 1) Scan OTL avec le script copié dans le domaine personnalisation. Je te communique le Log: All processes killed ========== OTL ========== Registry key HKEY_USERS\S-1-5-21-1710089351-3514957961-2068040991-1008\Software\Microsoft\Internet Explorer\URLSearchHooks not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully. Prefs.js: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 removed from extensions.enabledItems Prefs.js: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 removed from extensions.enabledItems Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems Prefs.js: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 removed from extensions.enabledItems Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully. Registry key HKEY_USERS\S-1-5-21-1710089351-3514957961-2068040991-1008\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}\ not found. Registry key HKEY_USERS\S-1-5-21-1710089351-3514957961-2068040991-1008\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found. Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Infodelivery\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoResolveSearch deleted successfully. Starting removal of ActiveX control {0000000A-0000-0010-8000-00AA00389B71} C:\WINDOWS\Downloaded Program Files\WMAVAX.inf moved successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{0000000A-0000-0010-8000-00AA00389B71}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000000A-0000-0010-8000-00AA00389B71}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0000000A-0000-0010-8000-00AA00389B71}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000000A-0000-0010-8000-00AA00389B71}\ not found. Starting removal of ActiveX control {33564D57-0000-0010-8000-00AA00389B71} C:\WINDOWS\Downloaded Program Files\WMV9VCM.inf moved successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33564D57-0000-0010-8000-00AA00389B71}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33564D57-0000-0010-8000-00AA00389B71}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{33564D57-0000-0010-8000-00AA00389B71}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33564D57-0000-0010-8000-00AA00389B71}\ not found. Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93} Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found. Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found. Starting removal of ActiveX control {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found. File Animation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab not found. Starting removal of ActiveX control DirectAnimation Java Classes Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\DownloadInformation\\INF . Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\DirectAnimation Java Classes\ not found. File oft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab not found. Starting removal of ActiveX control Microsoft XML Parser for Java Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\DownloadInformation\\INF . Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Microsoft XML Parser for Java\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\Advanced SystemCare 5\ deleted successfully. ========== FILES ========== C:\Documents and Settings\HERVE\Application Data\2waitsoap folder moved successfully. C:\Documents and Settings\HERVE\Application Data\Lavasoft\Ad-Aware\Quarantine folder moved successfully. C:\Documents and Settings\HERVE\Application Data\Lavasoft\Ad-Aware\logs folder moved successfully. C:\Documents and Settings\HERVE\Application Data\Lavasoft\Ad-Aware folder moved successfully. C:\Documents and Settings\HERVE\Application Data\Lavasoft folder moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: All Users User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 729856 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: YANN ->Temp folder emptied: 248008 bytes ->Temporary Internet Files folder emptied: 246162 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 62072562 bytes ->Flash cache emptied: 506 bytes User: Propriétaire User: HERVE ->Temp folder emptied: 16291 bytes ->Temporary Internet Files folder emptied: 49152 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 5980112 bytes ->Flash cache emptied: 506 bytes User: SABINE ->Temp folder emptied: 560808 bytes ->Temporary Internet Files folder emptied: 1255523 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 134534720 bytes ->Flash cache emptied: 940 bytes User: PASCAL ->Temp folder emptied: 1112584 bytes ->Temporary Internet Files folder emptied: 279060 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 56237923 bytes ->Flash cache emptied: 0 bytes User: Invité ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Administrateur ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->FireFox cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 251,00 mb [EMPTYFLASH] User: Default User User: All Users User: NetworkService User: LocalService User: YANN ->Flash cache emptied: 0 bytes User: Propriétaire User: HERVE ->Flash cache emptied: 0 bytes User: SABINE ->Flash cache emptied: 0 bytes User: PASCAL ->Flash cache emptied: 0 bytes User: Invité User: Administrateur Total Flash Files Cleaned = 0,00 mb Restore point Set: OTL Restore Point OTL by OldTimer - Version 3.2.69.0 log created on 09292012_200605 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... 2) Scan Roguekiller sur la session de Pascal dont je te communique le log ( il me demande de supprimer 2 fichiers SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\... que je n'ai pas supprimé): RogueKiller V8.1.0 [28/09/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/60) Website: RogueKiller Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : PASCAL [Droits d'admin] Mode : Recherche -- Date : 29/09/2012 20:18:20 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[25] : NtClose @ 0x80567B6D -> HOOKED (Unknown @ 0xBA5DB914) SSDT[41] : NtCreateKey @ 0x805737EF -> HOOKED (Unknown @ 0xBA5DB8CE) SSDT[50] : NtCreateSection @ 0x805653B3 -> HOOKED (Unknown @ 0xBA5DB91E) SSDT[53] : NtCreateThread @ 0x8057888D -> HOOKED (Unknown @ 0xBA5DB8C4) SSDT[63] : NtDeleteKey @ 0x80595A22 -> HOOKED (Unknown @ 0xBA5DB8D3) SSDT[65] : NtDeleteValueKey @ 0x80593642 -> HOOKED (Unknown @ 0xBA5DB8DD) SSDT[68] : NtDuplicateObject @ 0x80574942 -> HOOKED (Unknown @ 0xBA5DB90F) SSDT[98] : NtLoadKey @ 0x805ADC0B -> HOOKED (Unknown @ 0xBA5DB8E2) SSDT[122] : NtOpenProcess @ 0x80574B29 -> HOOKED (Unknown @ 0xBA5DB8B0) SSDT[128] : NtOpenThread @ 0x80590C64 -> HOOKED (Unknown @ 0xBA5DB8B5) SSDT[177] : NtQueryValueKey @ 0x8056A499 -> HOOKED (Unknown @ 0xBA5DB937) SSDT[193] : NtReplaceKey @ 0x8064FE38 -> HOOKED (Unknown @ 0xBA5DB8EC) SSDT[200] : NtRequestWaitReplyPort @ 0x8056DD06 -> HOOKED (Unknown @ 0xBA5DB928) SSDT[204] : NtRestoreKey @ 0x8064F9CD -> HOOKED (Unknown @ 0xBA5DB8E7) SSDT[213] : NtSetContextThread @ 0x8062E773 -> HOOKED (Unknown @ 0xBA5DB923) SSDT[237] : NtSetSecurityObject @ 0x8059818E -> HOOKED (Unknown @ 0xBA5DB92D) SSDT[247] : NtSetValueKey @ 0x8057DA5B -> HOOKED (Unknown @ 0xBA5DB8D8) SSDT[255] : NtSystemDebugControl @ 0x8064AA0F -> HOOKED (Unknown @ 0xBA5DB932) SSDT[257] : NtTerminateProcess @ 0x805857B9 -> HOOKED (Unknown @ 0xBA5DB8BF) IRP[iRP_MJ_CREATE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7859B40) IRP[iRP_MJ_CLOSE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7859B40) IRP[iRP_MJ_DEVICE_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7859B40) IRP[iRP_MJ_INTERNAL_DEVICE_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7859B40) IRP[iRP_MJ_POWER] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7859B40) IRP[iRP_MJ_SYSTEM_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7859B40) IRP[iRP_MJ_PNP] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7859B40) IRP[DriverStartIo] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7857864) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts ÿþ1 ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Maxtor 6Y080L0 +++++ --- User --- [MBR] 2d36986134512ee70ccd2e9660447704 [bSP] f284015262a8e30265790968f9e5ffe7 : Windows XP MBR Code Partition table: 0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 74916 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt A+

Re bonsoir tomtom95, Je viens de te communiquer la fin de la manip. A+ pour ton bilan

Bonsoir tomtom95, Avant tout merci de t'occuper de mon problème. 1) Je ne savais pas que nous étions tous mis en tant qu'administrateur. Ce n'était pas voulu et je ne sais pas comment remédier à ce bug et donc revenir à un seul administrateur... 2) Je n'ai pas trouvé Sweet IM Search ni dans ajout/suppression des programmes ni dans les modules de Firefox! 3) Je te communique le rapport de Navilog1 sur la session Hervé: Fix Navipromo version 4.1.1 commencé le 28/09/2012 22:54:22,57 !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! !!! Postez ce rapport sur le forum pour le faire analyser !!! Outil exécuté depuis C:\navilog1 Mise à jour le 07.04.2012 à 20h00 par IL-MAFIOSO Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3 X86-based PC ( Uniprocessor Free : Unknown CPU Type ) BIOS : Phoenix - AwardBIOS v6.00PG USER : HERVE ( Administrator ) BOOT : Normal boot Antivirus : Avira Desktop 12.3.0.15 (Not Activated) A:\ (USB) C:\ (Local Disk) - FAT32 - Total:73 Go (Free:30 Go) D:\ (CD or DVD) E:\ (CD or DVD) Recherche executée en mode normal Nettoyage exécuté au redémarrage de l'ordinateur Nettoyage contenu C:\WINDOWS\Temp effectué ! Nettoyage contenu C:\Documents and Settings\HERVE\locals~1\Temp effectué ! *** Sauvegarde du Registre vers dossier Safebackup *** sauvegarde du Registre réalisée avec succès ! *** Nettoyage Registre *** Nettoyage Registre Ok Certificat Egroup supprimé ! Certificat Electronic-Group supprimé ! Certificat OOO-Favorit supprimé ! 4) Je te communique le rapport AdwCleaner[R] sur la session de Hervé: # AdwCleaner v2.003 - Rapport créé le 28/09/2012 à 23:22:30 # Mis à jour le 23/09/2012 par Xplode # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits) # Nom d'utilisateur : HERVE # Mode de démarrage : Normal # Exécuté depuis : C:\Documents and Settings\HERVE\Bureau\adwcleaner.exe # Option [Recherche] ***** [services] ***** ***** [Fichiers / Dossiers] ***** ***** [Registre] ***** Clé Présente : HKCU\Software\AskSearchAsst Clé Présente : HKCU\Software\EoRezo Clé Présente : HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350} ***** [Navigateurs] ***** -\\ Internet Explorer v8.0.6001.18702 [OK] Le registre ne contient aucune entrée illégitime. -\\ Mozilla Firefox v15.0.1 (fr) Nom du profil : default Fichier : C:\Documents and Settings\PASCAL\Application Data\Mozilla\Firefox\Profiles\dhynlzul.default\prefs.js [OK] Le fichier ne contient aucune entrée illégitime. Nom du profil : default Fichier : C:\Documents and Settings\SABINE\Application Data\Mozilla\Firefox\Profiles\c7jk1e35.default\prefs.js [OK] Le fichier ne contient aucune entrée illégitime. Nom du profil : default Fichier : C:\Documents and Settings\YANN\Application Data\Mozilla\Firefox\Profiles\hxwole8l.default\prefs.js [OK] Le fichier ne contient aucune entrée illégitime. Nom du profil : default Fichier : C:\Documents and Settings\HERVE\Application Data\Mozilla\Firefox\Profiles\40rqay0u.default\prefs.js [OK] Le fichier ne contient aucune entrée illégitime. Nom du profil : default Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\fvdy3cra.default\prefs.js [OK] Le fichier ne contient aucune entrée illégitime. ************************* AdwCleaner[R1].txt - [2008 octets] - [28/09/2012 23:20:14] AdwCleaner[R2].txt - [1949 octets] - [28/09/2012 23:22:30] ########## EOF - C:\AdwCleaner[R2].txt - [2009 octets] ########## 5) Je te communique le rapport AdwCleaner sur la session Hervé: # AdwCleaner v2.003 - Rapport créé le 28/09/2012 à 23:27:02 # Mis à jour le 23/09/2012 par Xplode # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits) # Nom d'utilisateur : HERVE - PHILIPPE # Mode de démarrage : Normal # Exécuté depuis : C:\Documents and Settings\HERVE\Bureau\adwcleaner.exe # Option [suppression] ***** [services] ***** ***** [Fichiers / Dossiers] ***** ***** [Registre] ***** Clé Supprimée : HKCU\Software\AskSearchAsst Clé Supprimée : HKCU\Software\EoRezo Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350} ***** [Navigateurs] ***** -\\ Internet Explorer v8.0.6001.18702 Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope] -\\ Mozilla Firefox v15.0.1 (fr) Nom du profil : default Fichier : C:\Documents and Settings\PASCAL\Application Data\Mozilla\Firefox\Profiles\dhynlzul.default\prefs.js [OK] Le fichier ne contient aucune entrée illégitime. Nom du profil : default Fichier : C:\Documents and Settings\SABINE\Application Data\Mozilla\Firefox\Profiles\c7jk1e35.default\prefs.js [OK] Le fichier ne contient aucune entrée illégitime. Nom du profil : default Fichier : C:\Documents and Settings\YANN\Application Data\Mozilla\Firefox\Profiles\hxwole8l.default\prefs.js [OK] Le fichier ne contient aucune entrée illégitime. Nom du profil : default Fichier : C:\Documents and Settings\HERVE\Application Data\Mozilla\Firefox\Profiles\40rqay0u.default\prefs.js [OK] Le fichier ne contient aucune entrée illégitime. Nom du profil : default Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\fvdy3cra.default\prefs.js [OK] Le fichier ne contient aucune entrée illégitime. ************************* AdwCleaner[R1].txt - [2008 octets] - [28/09/2012 23:20:14] AdwCleaner[R2].txt - [2068 octets] - [28/09/2012 23:22:30] AdwCleaner[s1].txt - [2043 octets] - [28/09/2012 23:27:02] ########## EOF - C:\AdwCleaner[s1].txt - [2103 octets] ########## 6) Je te communique le rapport OTL : ---OTL.txt: http://cjoint.com/?BIDadcxubFE Extras.txt http://cjoint.com/?BIDahtIS3n5 Voici fin de la manip. A+

Bonsoir Tonton, Merci pour ton aide. Comme tu me l'as suggéré, j'ai ouvert un nouveau sujet sur le forum "analyse et éradication des malwares" Infection détectée provoquant un ralentissement au démarrage - Forums Zebulon.fr. Je te tiendrai au courant de l'évolution de ce nouveau Post. A+

Bonjour, J'ai ouvert un sujet PC très lent au démarrage sous XP - Forums Zebulon.fr sur le forum hardware par rapport au ralentissement de mon PC au démarrage. Suite à un Scan de ZHPDiag sur toutes mes sessions Tonton a détecté des infections, et il m'a donc demandé d'ouvrir ce nouveau sujet sur ce forum afin de les éradiquer! Je vous communique ce lien contenant les logs de mes Scan PC très lent au démarrage sous XP - Forums Zebulon.fr - Page 8 Merci d'avance pour votre aide. A+

Bonsoir Tonton, 1) Je t'adresse le lien du SCAN ZHPDiag en mode normal ( blocage sur File_Firefox : Sweet IM Search.xml#68 en cliquant sur tous) de la 1ère Session ( déjà effectué au préalable) : Lien CJoint.com BIBxKy7XD9V 2)Je t'adresse le 2ième SCAN en mode normal ( 1-Demande agrément Sigcheck accepté, appuyer sur Ok 2- blocage sur C:\Windows\system32\DRVSTORE\...) en cliquant sur tous http://cjoint.com/?BIBx6FMPN8S 3) Voici le 3ième SCAN en mode normal ( 1-Demande agrément Sigcheck accepté, appuyer sur Ok 2- blocage sur File_Firefox : Sweet IM Search.xml#68) en cliquant sur tous http://cjoint.com/?BICanMVhvCs 4)Voici le 4ième SCAN en mode normal ( 1-Demande agrément Sigcheck accepté, appuyer sur Ok 2- blocage sur File_Firefox : Sweet IM Search.xml#68) en cliquant sur tous http://cjoint.com/?BICaDoE4mFz A+

Erreur de manipulation

Re Tonton, 1)Toutes les sessions ont bien le même problème au démarrage. 2)Toutes les sessions ont bien le même Antivirus et le même antimalwares. 3)La mémoire virtuelle n'a pas été modifiée car j'ai laissé l'option mémoire gérée par le systéme. J'espère que ces infos t'aideront à détecter mon bug... A+

Bonsoir Tonton, Je viens de finir les tests de 12 h sur chacune des 2 cartes mémoire via Memtest86+ et ils n'ont détecté aucune erreur. Il faut donc prospecter ailleurs... A+

Bonjour Tonton, 1) J'ai bien lancé, comme prévu, le test en 3 Pass sur la 2ième carte mémoire et le résultat est identique à la 1ère ( les 2 cartes sont neuves)! D'après ton Post précédent tu suggères de faire durer le Test plus longtemps. Préfères tu que je refasse le Test sur 12h? A+

Re Tonton, 1)En fait j'avais enregistré le fichier mt420.iso en tant que données et non en tant qu'image! Du coup, en faisant cette modif. la manip s'est bien déroulée par la suite! 2)Je viens d'arrêter le Test au bout de 3h30mn et 3 Pass de la 1ère carte mémoire car l'écran initial n'avait pas bougé et donc pas d'erreurs signalées! cf tuto: "Si votre écran de départ conserve le même tableau après au moins une passe complète, on peut estimer que la mémoire est saine" 3) Je vais lancer le 2ième Test sur l'autre carte et je te tiens au courant! A+

Bonjour Tonton, J'ai besoin de ton aide car la manip ne marche pas... 1) J'ai bien téléchargé Memtest86+ via ton lien. J'ai extrait le dossier sur mon bureau. Puis copier le fichier mt420.iso sur un CD que j'ai, au préalable effacé intégralement via NERO. NERO voit bien le fichier mt420.iso sur le CD. 2) Hors au démarrage du PC il ne boot pas sur le CD et tout se passe normalement, comme s'il n'y avait pas de CD??? Que dois je faire??? Ai je fait une fausse manip? A+

Bonsoir Tonton, Pardon mais je crois que je t'ai mis sur une fausse piste de façon totalement involontaire... En fait quand je t'ai écrit "quand on choisit l'utilisateur via l'icône ad-hoc" je voulais juste dire que chacun avait sa propre icône et que donc chaque utilisateur cliquait à ce niveau sur l'icône le concernant (d'où mon terme ad-hoc). Le gros ralentissement survenant après... Je vais procéder demain à la manip. Memtest A+

Bonjour Tonton, 1) C'est Ok, il faut que je copie le fichier sur un CD vierge qui fera office de CD de Boot en ne gardant qu'une barrette mémoire! Mon Pb c'est que, du coup, le PC va être bloquer ~12h et qu'il faut donc que je le fasse au moment approprié... 2)Je veux juste préciser que la lenteur au démarrage du PC se situe surtout au montage des données perso quand on choisit l'utilisateur via l'icône ad-hoc. Je ne sais pas si cette remarque est très utile... A+

Re Tonton, Juste pour m'enlever un dernier doute...Le CD Bootable est bien le CD ou on aura copié le fichier ISO issu de Memtest86+? A+

Re Tonton, J'avoue que j'ai lu le tuto de Memtest86+ mais je ne comprends pas trop la manip. Faut il copier le logiciel sur un CD bootable et donc le mettre en lançant le PC? Que veut dire un CD bootable? A+

Re Tonton, J'ai déjà eu un problème de ralentissement au mois de juin dernier qui s'était réglé après les manips liées à ma demande d'aide sur le forum ( cf le lien dans mon 1er Post) et mon extension de mémoire de 512Mo à 2Go. Ce ralentissement est revenu suite à l'installation de ma Webcam. J'avoue que j'en perd mon latin... A+

Re Tonton, J'ai bien fait un double clic sur cbslog mais il a bien créé 2 rapports vides sur le bureau... A+