spybot

[remed]

bonjour,

Dans spybot (mode avancé)/outils/démarrage système, une liste affiche les programmes au démarrage (on s'en doutait!). certains sont notés "tout à fait inutiles", d'autres en "inutile-virus ou spyware..." mais j'ai un doute pour supprimer ces lignes : pourriez vous m'aider, svp?

HK_CU:Run "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized ( c'est /nosplash /minimized qui me gêne)

HK_CU:Run C:\WINDOWS\system32\ctfmon.exe (j'ose pas toucher à system32)

HK_LM:Run C:\Program Files\HP\HP Software Update\HPWuSchd2.exe (concerne quand même l'imprimante)

HK_LM:Run C:\Program Files\HP\hpcoretech\hpcmpmgr.exe (idem)

HK_LM:Run C:\Program Files\Ahead\inCD\InCD.exe (est ce inutile pour Nero???)

HK_LM:Run PLFFAP C:\WINDOWS\system32\HotfixQ0306270.exe (noté "inconnu")

HK_LM:Run PRONoMgr.exe C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe (inutile?)

HK_LM:Run Soundman.exe

HK_LM:Run SunJavaUpdateSched C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe (inutile?)

HK_CU:Run "ligne vide" notée virus??? dans détails=system32.exe

 

 

Pour info, je veux garder Skype, mon imprimante est HP, j'ai Nero sous Windows XP

Merci pour ceux qui vont m'éclairer!!!

Bonne journée

[angelique]

un rapport HJT sera certainement plus parlant!

car ceci est le plus inquiétant:

Filename: system32.exe

Command: system32.exe

Description: Added by the AGOBOT-KU WORM! Note - has a blank entry under the Startup Item/Name field

 

*télécharger la dernière version d'HijackThis http://www.merijn.org/files/hijackthis.zip

*creer un nouveau dossier en c:\ nommé HijackThis

*coller hijackthis.zip dans le repertoire crée puis clic droit sur le zip /extraire ici

 

*lance Hijackthis.exe " do a system scan & save log file" et poste le rapport généré(HijackThis.txt)

 

--------------------------------------------------

 

Je deplace ton sujet dans la bonne section du forum afin qu'un membre sécurité analyse ton rapport

[remed]

Merci, c'est très sympa.

voici mon rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 18:05:17, on 15/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe

C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

C:\Program Files\Skype\Plugin Manager\SkypePM.exe

C:\WINDOWS\explorer.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = SOS Connexion - Le web en toute simplicité

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\digital imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Bloc Notes - {AF4F850B-68FF-404C-8417-549F86B1E236} - notepad.exe (file missing)

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O15 - Trusted Zone: http://webscanner.kaspersky.fr

O15 - Trusted Zone: http://*.update.microsoft.com

O15 - Trusted Zone: http://*.windowsupdate.microsoft.com

O15 - Trusted Zone: http://www3.snapfish.fr

O15 - Trusted Zone: http://www.trendmicro.com

O15 - Trusted Zone: http://download.windowsupdate.com

O15 - Trusted Zone: http://*.windowsupdate.com

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab

O16 - DPF: {54D53429-945C-4188-B460-C81356541882} (SaveImageFiles Class) - http://eshare.hpphoto.com/Download/HPeServicesLocalPrint.CAB

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15028/CTPID.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1C8BF7AC-F5F5-4E5F-A714-9563C492781C}: NameServer = 212.151.137.170 212.151.136.246

O17 - HKLM\System\CS1\Services\Tcpip\..\{1C8BF7AC-F5F5-4E5F-A714-9563C492781C}: NameServer = 212.151.137.170 212.151.136.246

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

y a t il infection ?

merci, à +

[angelique]

pas d'infection notoire dans ton rapport HJT, tu peux néanmoins lancer HJT " do a system scan only",cocher uniquement les lignes ci dessous et clic fixchecked:

 

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O9 - Extra button: Bloc Notes - {AF4F850B-68FF-404C-8417-549F86B1E236} - notepad.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

 

 

**as tu un disfonctionnement particulier??

[remed]

merci

non, je n'ai pas de disfonctionnement pardituculier, simplement, je reveins à ma 1ère question : j'ai lancé Spybot et je voulais être sûr avant de supprimer les lignes signalées comme tout à fait inutiles ! :

"Dans spybot (mode avancé)/outils/démarrage système, une liste affiche les programmes au démarrage: certains sont notés "tout à fait inutiles", d'autres en "inutile-virus ou spyware..." mais j'ai un doute pour supprimer ces lignes : pourriez vous m'aider, svp?

HK_CU:Run "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized ( c'est /nosplash /minimized qui me gêne)

HK_CU:Run C:\WINDOWS\system32\ctfmon.exe (j'ose pas toucher à system32)

HK_LM:Run C:\Program Files\HP\HP Software Update\HPWuSchd2.exe (concerne quand même l'imprimante)

HK_LM:Run C:\Program Files\HP\hpcoretech\hpcmpmgr.exe (idem)

HK_LM:Run C:\Program Files\Ahead\inCD\InCD.exe (est ce inutile pour Nero???)

HK_LM:Run PLFFAP C:\WINDOWS\system32\HotfixQ0306270.exe (noté "inconnu")

HK_LM:Run PRONoMgr.exe C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe (inutile?)

HK_LM:Run Soundman.exe

HK_LM:Run SunJavaUpdateSched C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe (inutile?)

HK_CU:Run "ligne vide" notée virus??? dans détails=system32.exe

 

Donc, puis je supprimer ces lignes ?

Merci

[oGu]

HK_CU:Run "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized ( c'est /nosplash /minimized qui me gêne)

 

C'est Skype qui se lance au démarrage de ton PC.Si j'étais toi je supprimerais, il démarrera ainsi uniquement quand tu souhaiteras t'en servir.A priori, le nosplash signifie que l' l'écran de Skype qui se lance en même temps que le programme, a été désactivé, et tant mieux!Le minimized indique qu'il ne se lance pas dans une fenêtre lorsque tu démarres XP.

 

HK_CU:Run C:\WINDOWS\system32\ctfmon.exe (j'ose pas toucher à system32)

 

C'est l'affichage des caractères étrangers, type chinois etc...Inutile donc tu peux supprimer, mais il reviendra tout seul...

 

HK_LM:Run C:\Program Files\HP\HP Software Update\HPWuSchd2.exe (concerne quand même l'imprimante)

 

Mise à jour de tes logiciels et pilotes d'imprimante.Inutile, chez moi je les ai supprimés.Tu pourras toujours chercher les mises à jour à partir de l'interface des logiciels HP installés sur ton ordi.

HK_LM:Run C:\Program Files\HP\hpcoretech\hpcmpmgr.exe (idem)

 

Là je ne sais pas ce que c'est, c'est lié à HP:en anglais j'ai ça:

 

Hpcmpmgr.exe is a process for the HP Component Manager, which manages HP multimedia products and software on HP computers.

 

HK_LM:Run C:\Program Files\Ahead\inCD\InCD.exe (est ce inutile pour Nero???)

 

Si tu poses la question, c'est donc que tu ne t'en sers pas!!Regarde à quoi sert ce logiciel:

 

http://www.clubic.com/telecharger-fiche10966-incd.html

 

 

HK_LM:Run PLFFAP C:\WINDOWS\system32\HotfixQ0306270.exe (noté "inconnu")

 

Il semblerait que cela soit lié à un USB Flash Disk deProlific Technology Inc.. Cela te dit quelque chose??

 

HK_LM:Run PRONoMgr.exe C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe (inutile?)

 

Te permet l'accès au panneau de configuration de ton adaptateur ethernet.Si tu n'y touches jamais, tu peux supprimer.

 

 

HK_LM:Run Soundman.exe

 

Te donne accès au panneau de config' de ta carte son Realtek.Même remarque qu'au-dessus donc !

 

HK_LM:Run SunJavaUpdateSched C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe (inutile?)

 

Mise à jour de la machine virtuelle Java, mais elles sont rares.Donc ce service bouffe de la mémoire pour rien.Tu peux supprimer.De temps en temps, va faire un tour ICI et clique sur "vérifier l'installation".Si une mise à jour existe, elle te sera proposée.

 

HK_CU:Run "ligne vide" notée virus??? dans détails=system32.exe

 

Alors là, c'est pas clair...Peux-tu en dire plus?

 

 

 

Si tu as à nouveau des doutes sur ce qui démarre, tu trouveras une grosse base de données ici:

 

http://www.processlibrary.com/

 

Il te suffit de rentrer le nom de l'exécutable (ex:jusched.exe) dans le champ de recherche, et tu obtiens des infos sur son rôle et son éventuelle nocivité.

 

 

 

Si tu le souhaites on peut continuer le ménage dans tes softs et services qui se lancent tout seuls.Tu gagneras en vitesse et en performance, et cela ne supprimera AUCUN de tes logiciels: simplement, ils ne démarreront QUE quand tu en auras besoin, et non pas dès que tu démarres ton PC.

 

Pour cela reposte un rapport Hijackthis.

Modifié le 16 mars 2007 par ogu

[remed]

Merci bcp

la ligne vide, et bien je ne l'ai plus !!! mystère?

j'avais aussi la ligne Backweb.exe, que j'ai supprimé après avoir vu sur process library.com (merci de ce lien)

je reposte mon Hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 10:48:00, on 17/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\PROGRA~1\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = SOS Connexion - Le web en toute simplicité

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - Global Startup: HP Digital Imaging Monitor.lnk.disabled

O4 - Global Startup: Logitech Desktop Messenger.lnk.disabled

O4 - Global Startup: Photo Express Calendar Checker SE.lnk.disabled

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O15 - Trusted Zone: http://webscanner.kaspersky.fr

O15 - Trusted Zone: http://*.update.microsoft.com

O15 - Trusted Zone: http://*.windowsupdate.microsoft.com

O15 - Trusted Zone: http://www3.snapfish.fr

O15 - Trusted Zone: http://www.trendmicro.com

O15 - Trusted Zone: http://download.windowsupdate.com

O15 - Trusted Zone: http://*.windowsupdate.com

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab

O16 - DPF: {54D53429-945C-4188-B460-C81356541882} (SaveImageFiles Class) - http://eshare.hpphoto.com/Download/HPeServicesLocalPrint.CAB

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15028/CTPID.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1C8BF7AC-F5F5-4E5F-A714-9563C492781C}: NameServer = 212.151.137.170 212.151.136.246

O17 - HKLM\System\CS1\Services\Tcpip\..\{1C8BF7AC-F5F5-4E5F-A714-9563C492781C}: NameServer = 212.151.137.170 212.151.136.246

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

Merci

[oGu]

Désolé pour le retard!

 

On y va:

 

Merci bcp

la ligne vide, et bien je ne l'ai plus !!! mystère?

j'avais aussi la ligne Backweb.exe, que j'ai supprimé après avoir vu sur process library.com (merci de ce lien)

 

Tant mieux pour la ligne qui a disparu, et tu as bien fait pour Backweb :néanmoins Backweb est parfois légitime: as-tu noté des dysfonctionnements en le supprimant??Si non, on passe à la suite!

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/

 

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = SOS Connexion - Le web en toute simplicité

 

Ces lignes indiquent les pages de démarrage de ton navigateur Internet Explorer.Je te conseille de passer à FIREFOX, plus rapide et plus sécurisé.Si tu as des questions...

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

Inutiles.Tu peux les cocher dans Hijackthis et faire "fix checked", puis rebooter.

 

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dlli

 

Si tu utilises fréquemment windows live, tu peux conserver.Dans le cas contraire, supprime-le.

 

O4 - Global Startup: HP Digital Imaging Monitor.lnk.disabled

 

Lancement automatique de ton outil HP.Supprime-le, il démarrera à ta demande ,cela soulagera la charge de ton système et accélérera le démarrage de ton PC.

 

O4 - Global Startup: Logitech Desktop Messenger.lnk.disabled

 

A supprimer.Logitech s'en sert pour t'envoyer des infos, pour ne pas dire de la pub...

 

O4 - Global Startup: Photo Express Calendar Checker SE.lnk.disabled

 

Même remarque que pour HP Digital Imaging.

 

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

 

A supprimer, sauf si tu exportes souvent des données vers Excel via le clic droit sur un document...

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

 

Tu peux supprimer, c'est inutile.

 

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

 

Tous ces éléments sont des boutons de la barre d'internet explorer.A toi de juger de leur pertinence et de leur intérêt dans le cadre de ton utilisation d'internet. Sachant encore une fois que Firefox fait tout mieux que Internet Explorer, et gratuitement!

 

O15 - Trusted Zone: <a href="http://webscanner.kaspersky.fr" target="_blank">http://webscanner.kaspersky.fr</a>

O15 - Trusted Zone: http://www.trendmicro.com://http://webscanner.kaspersky.fr</....trendmicro.com</a>

 

Fais-tu souvent des scans antivirus en ligne?C'est conseillé, mais tu peux supprimer ces lignes, elles se réinstalleront toutes seules au besoin, si tu retournes sur Kaspersky on-line ou TrendMicro.

 

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab://http://www.trendmicro.com://http://...026/CTSUEng.cab

 

Mise à jour automatique de logiciels:

 

http://fr.europe.creative.com/support/down...36&OCXType=

 

Si tu mets souvent à jour un de leurs logiciels, tu peux le conserver.Perso je supprime toujours ce genre de truc, quite à faire la MAJ tout seul comme un grand.

 

Quelque soit ton choix, applique-le également pour la ligne suivante:

 

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15028/CTPID.cab

 

 

 

 

Tu aimes bien les petits jeux on-line non?

 

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

 

C'est un démineur??A toi de juger si tu veux le conserver.

 

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab

 

Visiblement ce sont des jeux en ligne.Même remarque qu'au dessus.

 

 

 

 

Les lignes suivantes sont des services qui se lancent eravec Windows.Certains ne sont pas utiles: pour les désactiver, il ne faut pas passer par Hijackthis mais faire la manip' suivante:

 

-"démarrer", "éxecuter".

-taper :services.msc, puis "ok".

-chercher la ligne correspondante au service (je te l'indiquerai) et double-cliquer dessus

-dans le menu déroulant de la fenêtre qui apparait, sélectionner le type de démarrage (auto, manuel ou désactive) puis valider et redémarrer.

 

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

 

Te permet de configurer ta carte graphique via une icone dans le systray.Si tu ne la règle jamais, mets ce services (ATI hotkey poller) en "désactivé".

 

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

 

Disposes-tu de la version gratuite de AVG antispyware??Si oui, passe le service "avg antispyware" en "désactivé".

 

 

 

Une fois tout cela effectué, n'oublie pas de redémarrer et de défragmenter.Ton PC devrait être plus rapide et moins surchargé.Renvoie-moi un log Hijackthis que je puisse contrôler ton travail (note pour le troisième trimestre!!) et refaire un contrôle sur un rapport plus court.On pourra aussi si tu le souhaites configurer les services Windows.

 

PS: je n'ai pas touché à tout ce qui à trait à Snapfish: utilises-tu ce service en ligne??

Modifié le 19 mars 2007 par ogu

[remed]

merci, je trouve que ta réponse était au contraire assez rapide !

quelques questions avant de fixer :

 

[R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/

 

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = SOS Connexion - Le web en toute simplicité

 

Ces lignes indiquent les pages de démarrage de ton navigateur Internet Explorer.Je te conseille de passer à FIREFOX, plus rapide et plus sécurisé.Si tu as des questions...]

 

j'ai déjà mozilla par défaut et je peste sur internet explorer quand il s'ouvre (clic sur un lien dans un mail, etc.) tu ne me dis pas ce que je dois faire de ces lignes R0 et R1 : je les fixe ??? comment faire pour que mozilla s'ouvre pour n'importe quel lien ?

 

Même question pour les 4 lignes 09 (extra button) : dois je les supprimer ? (fixer?)

et les 2 lignes 023, comment je fais pour les désactiver : par hijackthis ? ou dans les services ?

 

j'attend ta réponse et j'execute le travail demandé ! ça compte pour le trimestre??? aïe !

merci beaucoup !!

[oGu]

[R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = SOS Connexion - Le web en toute simplicité

 

 

Ces lignes indiquent les pages de démarrage de ton navigateur Internet Explorer.Je te conseille de passer à FIREFOX, plus rapide et plus sécurisé.Si tu as des questions...]

 

j'ai déjà mozilla par défaut et je peste sur internet explorer quand il s'ouvre (clic sur un lien dans un mail, etc.) tu ne me dis pas ce que je dois faire de ces lignes R0 et R1 : je les fixe ??? comment faire pour que mozilla s'ouvre pour n'importe quel lien ?

 

Tu as déjà Mozilla, tant mieux!!Pense à le sécuriser en suivant le tuto de Mégataupe.Tu peux donc fixer ces lignes,Internet Explorer ne te servant que pour les mises à jour Microsoft.Je t'avais dit de ne pas y toucher car je pensais que c'étaient les pages que tu avais choisis pour ton navigateur, par confort d'utilisation...

 

J'imagine que tu as déjà réglé Firefox comme navigateur par défaut dans "outil", "options","général", "système".Si cela n' a pas suffit, lance IE et déclare le comme navigateur par défaut, puis tu le fermes; enfin relance Firefox et à l'invite déclare le comme navigateur par défaut.

 

source: http://www.geckozone.org/faq/index.php?rep...ir=1&chap=7

 

Sachant que certains softs lancent IE, et que l'on y peut rien....voir ICI pour MSN par exemple...

 

Même question pour les 4 lignes 09 (extra button) : dois je les supprimer ? (fixer?)

 

Tu peux les supprimer vu que tu n'utilises pas IE.

 

 

et les 2 lignes 023, comment je fais pour les désactiver : par hijackthis ? ou dans les services ?

 

Hijackthis ne peut pas configurer le démarrage des services, il faut donc passer par la console des services (menu "démarrer", "éxecuter", taper "services.msc" sans les guillemets puis "ok".)

 

 

 

Envoie moi un nouveau log une fois fait, et pour les services Windows j'ai besoin d'un nouveau rapport: dans la commande "éxecuter", tape

cmd /k net start > c:\services.txt

Un rapport apparaitra à la racine de ton disque C; poste-le.

 

AU BOULOT !!!

Modifié le 20 mars 2007 par ogu