Rapport Hijackthis

[wong]

RE remed,

 

AGRSMMSG.exe : concerne SoftModem installé sur un portable.

J'ai posé la question car je ne connais pas ( donc laisses-le en attendant d'autres avis ).

 

Spybot : Oui, fais un scan en mode sans échec.

 

CTFMON.exe : Concerne Office ( langues supplémentaires )

 

Pour pouvoir supprimer ctfmon.exe au démarrage, tu dois faire avant :

 

Panneau de configuration > Options régionales et linguistiques > Langues > Détails > Barre de langue > Cocher la case " Arrêtez les services de texte avancés ".

 

Ensuite tu décoches la case dans l'Onglet Démarrage de msconfig.

 

Refais un nouveau rapport Hijack afin de pouvoir fixer les lignes inutiles.

 

Cordialement.

[remed]

Merci Wong, il y a juste une chose que je n'ai pas pu faire : redémarrer en mode sans échec : un écran noir apparaît avec le message que Windows n'a pas démarré normallement, veuillez (si c'est la 1ère fois) redémarrer votre ordi" quelques chose dans ce goût là : je l'ai refais deux fois, même choses. le souci, c'est que sur mon PC portable il n'y a pa de bouton reset comme sur un pC fixe, du ocoup, je usuis obligé de retirer la batterie... j'ai peur qu'à force, ça abime.

je te renvois un nouveau rapport, avec tous mes remerciements +++ (notamment pour les langues, t'es le premier qui me trouve la solution!)

à +

ps: bizarre, 4è ligne : c'est iE7 qui s'y colle, pourtant j'ai mozilla par défaut (enfin je crois)

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 19:17:38, on 30/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\System32\S24EvMon.exe

C:\WINDOWS\system32\ZCfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\WINDOWS\System32\RegSrvc.exe

C:\WINDOWS\System32\RoamMgr.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\1XConfig.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Elantech\ktp3.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\utilisateur\Bureau\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [KTPWare] C:\Program Files\Elantech\ktp3.exe

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{55160BCA-206B-4838-878D-60032DEE40B4}: NameServer = 212.151.137.170 212.151.136.246

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe

O23 - Service: RoamMgr - Intel Corporation - C:\WINDOWS\System32\RoamMgr.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

[wong]

RE remed,

 

Pour démarrer en mode sans échec tu dois tapoter sur la touche F8 au démarrage du PC, et ensuite choisir ton compte habituel (administrateur).

 

Une autre solution pour démarrer en mode sans échec :

Démarrer > Exécuter : msconfig > OK

Dans l'Onglet BOOT.INI : cocher la case /SAFEBOOT et redémarrer.

Lorsque tu as fini ton scan en mode sans échec, refaire la même procédure, mais en décochant la case /SAFEBOOT, pour pouvoir revenir en mode normal.

 

Pour IE7, tu en as besoin pour faire tes mises à jour avec Windows Update, et aussi pour pouvoir télécharger certains anti-virus ( acceptation de l'Active X ) dans le cas d'une désinfection.

 

Pour ton rapport Hijack, je reviens.

 

Cordialement.

 

EDIT : Corrigé pour indication de la touche F8 pour mode sans échec

Modifié le 1 avril 2007 par wong

[wong]

RE remed,

 

Mon avis sur ton rapport Hijack :

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

 

Les lignes R0/R1 concernent les pages de démarrage/recherche de IE.

Tu peux déjà Fixer ces lignes avec Hijack

 

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

 

Les BHO/Toolbar Helper, moi je m'en méfie. A toi de voir si tu veux conserver la Toolbar Yahoo.

 

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

 

Si tu décides de supprimer la Toolbar Yahoo, cette ligne est à Fixer

 

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

 

Les 04 concernent les programmes chargés au démarrage.

Tu peux décocher ces programmes dans msconfig > Onglet Démarrage ( comme déjà expliqué dans le post #18 ).

 

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

 

Eléments additionnels d'IE. Tu peux Fixer ces lignes

 

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

Pour ce service, tu peux le mettre en Désactivé dans tes services, et redémarrer le PC.

 

Il reste encore des améliorations à faire. Mais dans un premier temps regardes si tout marche bien.

 

Dans le Gestionnaire de tâches, indiques : le nombre de processus, le % utilisé de l'UC, et la charge dédiée.

 

Cordialement.

[remed]

merci

désolé, mais même en faisant ce que tu dis :" Démarrer > Exécuter : msconfig > OK

Dans l'Onglet BOOT.INI : cocher la case /SAFEBOOT et redémarrer.", et bien je ne peux pas démarrer en mode sans échec, mais un écran bleu apparaît avec ces indications : "un problème a été détecté et windows a été arrêté afin de prévenir tout dommage sur votre ordinateur

IQRL_NOT_LESS_OR_EQUAL

si vous voyez cet écran pour la 1è fois, redémarrez votre ordi, si cet écran apparaît encore, etc..."

le problème c'est que je ne peux plus redémarrer l'ordi normalement, donc la case safeboot est toujours cochée, et je retombe sans arrêt sur cet écran bleu !!! au secours !!!

[wong]

Bonjour remed,

 

La commande que je t'ai indiquée de faire pour le mode sans echec est la bonne :

 

http://service1.symantec.com/support/inter...020905112131924

 

Par contre, dans mon post précédent (33) je me suis trompé de touche ( mes excuses, c'était pour l'accès au bios ) :

 

Il faut tapoter sur la touche F8 au démarrage du PC pour accéder au mode sans echec ( essayes ), des fois il faut attendre un peu.

 

Je vais donc rectifier ce post afin de rétablir la bonne commande.

 

Concernant ton écran bleu avec : IQRL_NOT_LESS_OR_EQUAL

 

C'est un problème de barrette mémoire, de drivers ou de logiciel.

 

Est-ce que tu as ajouté un matériel ou un logiciel entre-temps ?

 

Cordialement.

 

EDIT : J'ai rectifié le post 33 pour l'indication de la touche F8.

Modifié le 1 avril 2007 par wong

[remed]

MErci, mais maintenant, je n'en suis plus à essayer de démarrer sans échec. mon pc s'est planté :je vous redis ma manip : j'ai fait ceci :

Dans l'Onglet BOOT.INI : cocher la case /SAFEBOOT et redémarrer.", un écran bleu apparaît avec ces indications : "un problème a été détecté et windows a été arrêté afin de prévenir tout dommage sur votre ordinateur

IQRL_NOT_LESS_OR_EQUAL

si vous voyez cet écran pour la 1è fois, redémarrez votre ordi, si cet écran apparaît encore, etc..."

le problème c'est que je ne peux plus redémarrer l'ordi normalement, donc la case safeboot est toujours cochée, et je retombe sans arrêt sur cet écran bleu ! obligé de retirer la batterie...

j'ai finalement inséré le CD windows et redémarré, il a tout réinstallé, j'ai maintenant un PC comme au 1er jour d'une installation !!! (bureau vide, fond d'écran windows par défaut)

pour me rendre compte que dans l'explorateur, j'ai dans C:\Documents and Settings:7lignes

Administrateur (?) All Users

All Users.WINDOWS.0 (?)

Default Users

Default User.WINDOWS.0 (???)

"Mon nom"

Utilisateur : et c'est dans ce dossier que j'ai pu retrouver tous mes documents : en fait, si je clic sur démarrer/mes documents, je n'accède pas à mes documents (j'ai Ma musique et Mes images : affichage par défaut de Windows) pour accéder à mes documents, je dois aller dans Explorateur/C/DocandSet/Utilisateur.

De +, dans all users/menu démarrer/programmes (explorateur), je trouve bien mes programmes installés. or, si je clic sur menu démarrer/tous lesprogrammes :j'ai les programmes d'une première installation mais pas les miens !!! au secours !!!

j'ai donc deux questions :

• je voudrais n'avoir qu'un compte utilisateur nommé "mon nom" dans lequel apparaît mes propres documents (dans panneau de config/comptes utilisateurs, je n'ai que deux comptes : "mon nom" et "invité")
  
• au démarrage de l'ordi, je ne veux plus avoir l'écran noir demandant comment ouvrir Windows !!!
  

S'il vous plaît, aidez moi vite, j'ai l'impression d'avoir fait des grosses bêtises !!!

Modifié le 1 avril 2007 par remed

[wong]

RE remed,

 

Ben je dois avouer que je ne comprends plus rien.

 

Lorsque tu as remis ton CD de XP, est-ce que tu as fait REPARER ou INSTALLATION ?

 

J'ai l'impression que tu veux régler plusieurs problèmes en même temps ( comptes utilisateurs + optimisation ).

 

1°) Démarrer > Exécuter : msconfig > Onglet BOOT.INI : si la case /SAFEBOOT est cochée, tu décoches et tu redémarres ton PC.

 

2°) Dans Panneau de cofiguration > Comptes Utilisateurs : Tu devrais avoir 2 comptes :

"ton nom" ( Administrateur ) et Invité ( désactivé ).

 

Cordialement.

[remed]

Merci bien wong

(Lorsque tu as remis ton CD de XP, est-ce que tu as fait REPARER ou INSTALLATION ?) j'ai essayé REPARATION mais ça revenait à "appuyez sur n'importe quelle touche pour lancer le cd rom. j'ai fini, j'avoue , par faire INSTALLATION

 

J'ai l'impression que tu veux régler plusieurs problèmes en même temps ( comptes utilisateurs + optimisation ) : NON, le seul problème que je veux régler, c'est de retrouver mon PC portable comme il était avant (et bien sûr, la restauration du système n'offre aucune aide, puisque le calendrier commence à aujourd'hui !)

 

1°) Démarrer > Exécuter : msconfig > Onglet BOOT.INI : si la case /SAFEBOOT est cochée, tu décoches et tu redémarres ton PC. :: OK, c'est déjà décoché (windows a tout écrasé, je répète que le PC est dans le même état que pour une 1ère installation

 

2°) Dans Panneau de coniguration > Comptes Utilisateurs : Tu devrais avoir 2 comptes :

"ton nom" ( Administrateur ) et Invité ( désactivé ).:

J'ai invité (désactivé) et "mon nom" administrateur; OK, mais mes doc personnels (qui par le + heureux des hasards n'ont pas été effacés !) ne sont pas dans ce compte mais dans un compte nommé "utilisateur", que je peux ouvrir en lançant l'explorateur (voir mon précédent post)

ce que je viens de faire, c'est ceci :dans panneau de config/comptes utilisateurs, c'est d'ajouter un compte que j'ai nommé "utilisateur" (j'ai donc maintenant 3 comptes). puis je suis en train de copier manuellement tous mes documents personnels depuis le dossier "utilisateur"/mes documents vers "mon nom"/mes documents .. en espérant que en lançant mes documents depuis le menu démarre , ils s'affichent bien ... c'est bien doctuer ??? je sais pas si j'ai été claire, mais, ce qui est sûr, c'est que je suis prête à m'arracher les cheveux !!!

en +, il y a certains programmes (genre Nero, ...) qui ne peuvent plus se lancer parce qu'il panque un fichier... ça , on règlera ça dans une seconde vie !!!

et 3°/ j'en ai marre de ce WINDOWS.0 et all users.WINDOWS.0 qui s'affichent dnas DOCUMENTS AND SETTINGS; et j'en ai marre aussi qu'à chaque démarrage du PC, je suis accueilli par l'écran noir me demandant de choisir en deux windows edition familiale( je pense que la 2è ligne "ws edition familiale" correspond à ce WINDOWS.0

merci pour votre compétence.

ps. je pars dans1 heure pour 8 jours, ne m'en veuillez pas si je ne reprend ce forum que dans une semaine.. mais vous pouvez continuez à m'aider, ce serait très sympa !!! MERCI +++

merci pour votre aide...

 

Cordialement.

Modifié le 1 avril 2007 par remed

[wong]

RE remed,

 

Si tu es parti en vacances ( j'espère ) tant mieux. A bientôt.

 

Pour WINDOWS.0 : Est-ce que tu peux faire une copie de ton boot.ini qui se trouve dans C:\

 

Pour l'ouvrir dans le Bloc Notes :

 

Dans l'Explorateur > Outils > Options des dossiers > Onglet affichage :

 

Cocher : Afficher les fichiers et dossiers cachés.

 

Décocher : 1°) Masquer les extensions des fichiers dont le type est connu, et 2°) Masquer les fichiers protégés du système d'exploitation.

 

Tu pourras remettre comme avant après la copie.

 

Clique droit sur boot.ini > Ouvrir avec > Bloc notes : sélectionner tout, et copier dans ton nouveau post.

 

Cordialement.