[Résolu] Client DNS et CPU

[rebo25]

je n'ai plus le chevron dans le systray et toujours les erreurs explorer suivie de drwatson :

ID de l'événement : 1002

Date : 14/10/2009

Heure : 09:32:49

Utilisateur : N/A

Ordinateur : X-X69FB0WY08STW

Description :

L'environnement s'est arrêté de façon inattendue et Explorer.exe a redémarré

.ID de l'événement : 1000

Date : 14/10/2009

Heure : 09:32:43

Utilisateur : N/A

Ordinateur : X-X69FB0WY08STW

Description :

Application défaillante drwtsn32.exe, version 5.1.2600.0, module défaillant dbghelp.dll, version 5.1.2600.5512, adresse de défaillance 0x0001295d.

 

je pense plutot à un conflit entre le firewall de nod 32 et kerio, mais bizarrement ça ne le faisait pas avant et ce problème ne se produit que sur ce pc. mon autre pc a la même configuration!

aprés débogage le pc fonctionne sans problème.

 

 

ok pour le rapport rsit qui ne montre plus de fichiers infectés.

 

Gare aux risques de conflits entre ESET NOD32 et Prevx...il va falloir n'en conserver qu'un.

 

Une correction à faire dans le registre de Windows >>

 

 

Rend toi sur cette page afin de télécharger le fichier lsa.reg sur ton Bureau => http://senduit.com/734a32

Patiente une seconde: le téléchargement va se lancer automatiquement.

 

 

Double-clique sur le fichier: au message qui s'affiche, clique sur OK pour faire fusionner le fichier avec le registre.

Elimine le fichier une fois l'opération effectuée.

Redémarre le pc.

 

Comment fonctionne le pc à présent ?

[Thanos]

salut

 

Oui, ca ressemble bien à un conflit entre deux programmes....si nod 32 possède un firewall, désactive Kério et constate s'il y a du changement. Il ne faut de toute façon conserver qu'un seul parefeu

Modifié le 25 octobre 2009 par Thanos

[rebo25]

Salut,

malheureusement ce n'est pas ça. en désactivant kerio et nod 32, le problème au démarrage est le même.explorer plante puis drwatson. il doit y avoir un conflit de driver ce que semble confirmer les minidumps. je joins le rapport :

 

* Bugcheck Analysis *

* *

*******************************************************************************

 

IRQL_NOT_LESS_OR_EQUAL (a)

An attempt was made to access a pageable (or completely invalid) address at an

interrupt request level (IRQL) that is too high. This is usually

caused by drivers using improper addresses.

If a kernel debugger is available get the stack backtrace.

Arguments:

Arg1: 00000077, memory referenced

Arg2: 00000002, IRQL

Arg3: 00000000, bitfield :

bit 0 : value 0 = read operation, 1 = write operation

bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)

Arg4: 804dc0f9, address which referenced memory

 

Debugging Details:

------------------

 

 

READ_ADDRESS: 00000077

 

CURRENT_IRQL: 2

 

FAULTING_IP:

nt!KiSwapThread+48

804dc0f9 8a4f58 mov cl,byte ptr [edi+58h]

 

CUSTOMER_CRASH_COUNT: 1

 

DEFAULT_BUCKET_ID: DRIVER_FAULT

 

BUGCHECK_STR: 0xA

 

PROCESS_NAME: System

 

LAST_CONTROL_TRANSFER: from 804dc143 to 804dc0f9

 

STACK_TEXT:

f7209d4c 804dc143 f74aeac4 83b0eda8 00000000 nt!KiSwapThread+0x48

f7209d74 f74a899b 00000000 00000000 00000000 nt!KeWaitForSingleObject+0x1c2

WARNING: Stack unwind information not available. Following frames may be wrong.

f7209dac 8057aeff 00000000 00000000 00000000 symsnap+0x1599b

f7209ddc 804f88ea f74a896c 00000000 00000000 nt!PspSystemThreadStartup+0x34

00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16

 

 

STACK_COMMAND: kb

 

FOLLOWUP_IP:

symsnap+1599b

f74a899b ?? ???

 

SYMBOL_STACK_INDEX: 2

 

SYMBOL_NAME: symsnap+1599b

 

FOLLOWUP_NAME: MachineOwner

 

MODULE_NAME: symsnap

 

IMAGE_NAME: symsnap.sys

 

DEBUG_FLR_IMAGE_TIMESTAMP: 47603725

 

FAILURE_BUCKET_ID: 0xA_symsnap+1599b

 

BUCKET_ID: 0xA_symsnap+1599b

 

Followup: MachineOwner

---------

 

kd> lmvm symsnap

start end module name

f7493000 f74b2f80 symsnap T (no symbols)

Loaded symbol image file: symsnap.sys

Image path: symsnap.sys

Image name: symsnap.sys

Timestamp: Wed Dec 12 20:31:49 2007 (47603725)

CheckSum: 00023B94

ImageSize: 0001FF80

Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4

J'ai viré le servic symsnap sans succes.

Je pense également à un conflit d'IRQ

[Thanos]

salut

 

Il est aussi possible qu'un programme du genre qui permet de modifier l'apparence de l'écran de démarrage soit responsable du problème. Je n'en voit pas dans la liste des programmes installés: en as tu désinstallé un récemment ?

Dans la capture que tu as posté, dans l'écran des Informations Système, tu peux voir le Menu Ressources Matérielles >> IRQ.

Est ce que tu peux voir OK à droite de tous les éléments ?

 

As tu désactive des éléments depuis le BIOS ?

J'ai viré le servic symsnap sans succes.

Comment l'as tu viré ? Tu as supprimé le fichier ? Ce driver appartient à Symantec: On peux faire un nettoyage des produits Symantec à l'aide de cet utilitaire >>

 

Télécharge Norton_Removal_Tool sur ton bureau.

 

Double clique sur l'icône de Norton Removal tool pour lancer l'utilitaire. Suis les indications à l'écran : il est possible que tu doives redémarrer plusieurs fois.

 

Attention: tu as Norton PartitionMagic 8.0 sur le pc: si tu comptes le conserver, n'utilise pas le programme Norton_Removal_Tool car il le supprimerait aussi!

 

Le problème vient du fait que Windows ne parvient pas à charger le driver symsnap.sys

Poste moi ce rapport stp >>

 

Télécharge RegSearch.exe (Registry Search de Bobbi Flekman)

• dézippe dans un répertoire dédié tel que C:\Program Files
  
• double clique sur RegSearch.exe
  
• copie colle les entrées en bleu dans les lignes de la zone de recherche:
  (n'entre qu'un seul élément par ligne!)
  symsnap
  symsnap.sys
  
• rien dans la ligne "Enter string to exclude from results" et clique sur "OK".
  
• après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées
  
• le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
  
• copie-colle le contenu de la fenêtre dans un post, ici
  
• ferme le bloc-notes et ferme RegSearch par Cancel
  
• Si la manipulation ne marche pas, entre les éléments un par un.
  

Note: le résultat de Regsearch risque d'être long!! aussi utilise deux posts pour le coller s'il le faut (en entier).

[rebo25]

Bonjour,

VICTOIRE....RESOLU.

 

apres avoir vérifié que symsnap était effacé, désinstallé partition magic et passé un coup de norton removal, l'erreur se reproduisait.

j'ai essayé pas mal de trucs et finalement mis à jour les drivers de ma carte graphique.

et la, miracle , plus d'erreur explorer.

Tout baigne.

je te remercie encore de tes conseils et de ton aide.

 

salut

 

Il est aussi possible qu'un programme du genre qui permet de modifier l'apparence de l'écran de démarrage soit responsable du problème. Je n'en voit pas dans la liste des programmes installés: en as tu désinstallé un récemment ?

Dans la capture que tu as posté, dans l'écran des Informations Système, tu peux voir le Menu Ressources Matérielles >> IRQ.

Est ce que tu peux voir OK à droite de tous les éléments ?

 

As tu désactive des éléments depuis le BIOS ?

 

Comment l'as tu viré ? Tu as supprimé le fichier ? Ce driver appartient à Symantec: On peux faire un nettoyage des produits Symantec à l'aide de cet utilitaire >>

 

Télécharge Norton_Removal_Tool sur ton bureau.

 

Double clique sur l'icône de Norton Removal tool pour lancer l'utilitaire. Suis les indications à l'écran : il est possible que tu doives redémarrer plusieurs fois.

 

Attention: tu as Norton PartitionMagic 8.0 sur le pc: si tu comptes le conserver, n'utilise pas le programme Norton_Removal_Tool car il le supprimerait aussi!

 

Le problème vient du fait que Windows ne parvient pas à charger le driver symsnap.sys

Poste moi ce rapport stp >>

 

Télécharge RegSearch.exe (Registry Search de Bobbi Flekman)

• dézippe dans un répertoire dédié tel que C:\Program Files
  
• double clique sur RegSearch.exe
  
• copie colle les entrées en bleu dans les lignes de la zone de recherche:
  (n'entre qu'un seul élément par ligne!)
  symsnap
  symsnap.sys
  
• rien dans la ligne "Enter string to exclude from results" et clique sur "OK".
  
• après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées
  
• le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
  
• copie-colle le contenu de la fenêtre dans un post, ici
  
• ferme le bloc-notes et ferme RegSearch par Cancel
  
• Si la manipulation ne marche pas, entre les éléments un par un.
  

Note: le résultat de Regsearch risque d'être long!! aussi utilise deux posts pour le coller s'il le faut (en entier).

[Thanos]

salut

 

Cool Content que tu aies trouvé le responsable

Est ce que tu veux bien me poster un nouveau et dernier rapport RSIT pour voir si tout est bon ? après ca on en aura terminé.

[rebo25]

voila:

Logfile of random's system information tool 1.06 (written by random/random)

Run by zorglub at 2009-10-19 13:36:59

Microsoft Windows XP Professionnel Service Pack 3

System drive C: has 8 GB (31%) free of 25 GB

Total RAM: 1023 MB (64% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:41:16, on 19/10/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Prevx\prevx.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

D:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Prevx\prevx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe

C:\Program Files\Calendrier\Cld2000.exe

C:\Program Files\SpywareGuard\sgmain.exe

C:\Documents And Settings\zorglub\Bureau\OUTILS\procexp.exe

C:\Program Files\SpywareGuard\sgbhp.exe

C:\Documents and Settings\zorglub\Bureau\RSIT.exe

C:\Documents And Settings\zorglub\Bureau\zorglub.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O4 - HKLM\..\Run: [RegRun WinBait] C:\WINDOWS\winbait.exe

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [@RegRunOnSecure] C:\PROGRA~1\Greatis\REGRUN~1\OnSecure.exe

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\RunOnce: [NvExportOEMDefaults] RUNDLL32.EXE C:\WINDOWS\system32\NVCPL.DLL,ExportOEMDefaults

O4 - HKLM\..\RunOnce: [NvRegisterMCTray] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvMCRegisterApp C:\WINDOWS\system32\NvCpl.dll

O4 - HKLM\..\RunOnce: [NvRegisterMCTrayNview] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvMCRegisterApp C:\WINDOWS\system32\nView.dll

O4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe

O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe

O4 - HKCU\..\RunOnce: [unHackMe] C:\PROGRA~1\Greatis\REGRUN~1\UnHackMe.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O4 - Startup: procexp.lnk = ?

O4 - Startup: Unhackme.lnk = ?

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: CSIScanner - Prevx - C:\Program Files\Prevx\prevx.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe (file missing)

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: MBAMService - Malwarebytes Corporation - D:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

 

--

End of file - 6844 bytes

 

======Scheduled tasks folder======

 

C:\WINDOWS\tasks\GlaryInitialize.job

C:\WINDOWS\tasks\1-Click Maintenance.job

C:\WINDOWS\tasks\EasyShare Registration Task.job

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-07-25 41760]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\program files\google\googletoolbar1.dll [2008-09-24 2403392]

{724d43a0-0d85-11d4-9908-00400523e39a} - &RoboForm - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll [2009-08-05 5960520]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"RegRun WinBait"=C:\WINDOWS\winbait.exe [2008-12-22 20192]

"Malwarebytes Anti-Malware (reboot)"=D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]

"@RegRunOnSecure"=C:\PROGRA~1\Greatis\REGRUN~1\OnSecure.exe [2008-12-22 61664]

"egui"=C:\Program Files\ESET\ESET Smart Security\egui.exe /hide /waitservice []

"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2005-11-11 86016]

"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2005-11-11 7311360]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"NvExportOEMDefaults"=C:\WINDOWS\system32\NVCPL.DLL [2005-11-11 7311360]

"NvRegisterMCTray"=C:\WINDOWS\system32\NVMCTRAY.DLL [2005-11-11 86016]

"NvRegisterMCTrayNview"=C:\WINDOWS\system32\NVMCTRAY.DLL [2005-11-11 86016]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"Regrun2"=C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe [2008-12-22 384224]

"Cld2000.exe"=C:\Program Files\Calendrier\Cld2000.exe [2009-09-14 2993664]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"UnHackMe"=C:\PROGRA~1\Greatis\REGRUN~1\UnHackMe.exe [2009-02-19 2151424]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

C:\WINDOWS\system32\ctfmon.exe [2008-04-13 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe [2008-09-24 171448]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"NVSvc"=2

 

C:\Documents and Settings\zorglub\Menu Démarrer\Programmes\Démarrage

SpywareGuard.lnk - C:\Program Files\SpywareGuard\sgmain.exe

procexp.lnk - C:\Documents And Settings\zorglub\Bureau\OUTILS\procexp.exe

Unhackme.lnk - F:\Program Files\Greatis\RegRunSuite\Unhackme.exe

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{81559C35-8464-49F7-BB0E-07A383BEF910}"=C:\Program Files\SpywareGuard\spywareguard.dll [2003-08-02 126976]

"{F552DDE6-2090-4bf4-B924-6141E87789A5}"=C:\PROGRA~1\Greatis\REGRUN~1\RRShell.dll [2008-10-20 335943]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=145

"NoSMBalloonTip"=0

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoResolveSearch"=

"HonorAutoRunSetting"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\Program Files\Spotify\spotify.exe"="C:\Program Files\Spotify\spotify.exe:*:Enabled:Spotify"

"D:\Program Files\Spotify\spotify.exe"="D:\Program Files\Spotify\spotify.exe:*:Enabled:Spotify"

"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{984db290-ad13-11de-9ba9-00038a000015}]

shell\AutoRun\command - K:\InstallTomTomHOME.exe

 

 

======File associations======

 

.bat - edit - C:\Program Files\EditXper\EditXper.exe %1

.ini - open - notepad.exe %1

.js - open - c:\windows\system32\wscript.exe "%1" %*

.txt - open - notepad.exe %1

.vbs - open - c:\windows\system32\wscript.exe "%1" %*

 

======List of files/folders created in the last 1 months======

 

2009-10-19 13:28:52 ----D---- C:\WINDOWS\LastGood

2009-10-19 12:41:49 ----D---- C:\Qoobox

2009-10-19 12:41:44 ----A---- C:\Bug.txt

2009-10-19 12:40:39 ----D---- C:\32788R22FWJFW

2009-10-18 11:16:43 ----D---- C:\Program Files\ESET

2009-10-18 10:55:48 ----A---- C:\WINDOWS\system32\nvudisp.exe

2009-10-18 10:55:34 ----A---- C:\WINDOWS\system32\NVUNINST.EXE

2009-10-18 10:55:20 ----D---- C:\NVIDIA

2009-10-18 09:00:25 ----A---- C:\WINDOWS\ntbtlog.txt

2009-10-18 08:54:31 ----A---- C:\WINDOWS\IE4 Error Log.txt

2009-10-18 08:34:34 ----A---- C:\WINDOWS\EurekaLog.ini

2009-10-17 18:53:56 ----A---- C:\WINDOWS\system32\SET1A.tmp

2009-10-17 14:16:39 ----D---- C:\Program Files\Mythicsoft

2009-10-16 11:41:43 ----HD---- C:\WINDOWS\$NtUninstallKB958869$

2009-10-16 11:34:37 ----HD---- C:\WINDOWS\$NtUninstallKB969059$

2009-10-16 11:34:16 ----HD---- C:\WINDOWS\$NtUninstallKB954155_WM9$

2009-10-16 11:34:00 ----HD---- C:\WINDOWS\$NtUninstallKB974112$

2009-10-16 11:33:39 ----HD---- C:\WINDOWS\$NtUninstallKB975025$

2009-10-16 11:33:19 ----HD---- C:\WINDOWS\$NtUninstallKB974571$

2009-10-16 11:26:35 ----HD---- C:\WINDOWS\$NtUninstallKB971486$

2009-10-16 11:21:34 ----HD---- C:\WINDOWS\$NtUninstallKB973525$

2009-10-16 11:16:31 ----HD---- C:\WINDOWS\$NtUninstallKB975467$

2009-10-13 13:35:16 ----D---- C:\courrier

2009-10-11 18:23:25 ----A---- C:\WINDOWS\system32\PARTIZAN.TXT

2009-10-11 12:53:22 ----D---- C:\Documents and Settings\zorglub\Application Data\Regrun

2009-10-11 12:52:50 ----A---- C:\WINDOWS\system32\Partizan.exe

2009-10-11 12:49:45 ----A---- C:\WINDOWS\RunGuard.exe

2009-10-11 12:49:44 ----A---- C:\WINDOWS\WinBait.exe

2009-10-10 17:29:19 ----D---- C:\Program Files\Winsonar

2009-10-10 11:10:43 ----D---- C:\Documents and Settings\zorglub\Application Data\ESET

2009-10-10 11:08:49 ----D---- C:\Documents and Settings\All Users\Application Data\ESET

2009-10-08 18:31:47 ----AH---- C:\Documents and Settings\zorglub\Application Data\dach100.dll

2009-10-07 12:19:08 ----D---- C:\rsit

2009-10-07 09:50:25 ----D---- C:\Program Files\CPUID

2009-10-05 18:24:12 ----HD---- C:\WINDOWS\$NtUninstallKB968389$

2009-09-29 19:08:27 ----D---- C:\Documents and Settings\All Users\Application Data\TomTom

2009-09-29 18:36:49 ----D---- C:\SymbolPath

2009-09-29 18:27:29 ----D---- C:\Program Files\Debugging Tools for Windows (x86)

2009-09-29 09:24:02 ----D---- C:\WINDOWS\Minidump

2009-09-28 09:57:36 ----D---- C:\Program Files\SuperF4

2009-09-26 19:09:36 ----D---- C:\Program Files\Belarc

2009-09-26 11:01:46 ----D---- C:\Documents and Settings\zorglub\Application Data\BankPerfect

2009-09-26 10:19:50 ----A---- C:\WINDOWS\Sqirlz Morph Uninstaller.exe

2009-09-26 10:19:49 ----D---- C:\Program Files\Sqirlz Morph

2009-09-26 10:10:52 ----D---- C:\Program Files\Cartoonist

2009-09-26 10:03:30 ----D---- C:\Program Files\STOIK

2009-09-26 08:57:25 ----D---- C:\Program Files\Ctr

2009-09-24 18:41:47 ----D---- C:\Program Files\Calendrier

 

======List of files/folders modified in the last 1 months======

 

2009-10-19 13:29:02 ----A---- C:\WINDOWS\EditXper.ini

2009-10-19 13:08:50 ----A---- C:\WINDOWS\SchedLgU.Txt

2009-10-19 12:49:30 ----SH---- C:\boot.ini

2009-10-19 12:49:30 ----A---- C:\WINDOWS\win.ini

2009-10-19 12:49:30 ----A---- C:\WINDOWS\system.ini

2009-10-17 12:11:18 ----A---- C:\WINDOWS\OEWABLog.txt

2009-10-16 11:34:48 ----A---- C:\WINDOWS\imsins.BAK

2009-10-14 19:22:50 ----A---- C:\aitorg.txt

2009-10-11 13:00:24 ----RASH---- C:\WINDOWS\winstart.bat

2009-10-11 08:47:38 ----A---- C:\WINDOWS\DUMP6244.tmp

2009-10-10 16:20:18 ----A---- C:\WINDOWS\wininit.ini

2009-10-02 20:01:58 ----A---- C:\WINDOWS\system32\MRT.exe

2009-09-24 08:25:58 ----A---- C:\rsqXPdir.ini

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 AmdK7;Pilote de processeur AMD K7; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-13 41856]

R1 BANTExt;Belarc SMBios Access; C:\WINDOWS\System32\Drivers\BANTExt.sys [2008-03-06 3840]

R1 epfwtdi;epfwtdi; C:\WINDOWS\system32\DRIVERS\epfwtdi.sys [2008-07-01 54280]

R1 fwdrv;Firewall Driver; C:\WINDOWS\system32\drivers\fwdrv.sys [2005-09-26 286720]

R1 khips;Kerio HIPS Driver; C:\WINDOWS\system32\drivers\khips.sys [2005-09-26 81920]

R2 epfw;epfw; C:\WINDOWS\system32\DRIVERS\epfw.sys [2008-07-01 71688]

R2 LBeepKE;LBeepKE; C:\WINDOWS\System32\Drivers\LBeepKE.sys [2006-05-25 3712]

R2 tifsfilter;Acronis True Image FS Filter; C:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2009-03-05 44704]

R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800]

R3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys [2004-08-23 821760]

R3 Epfwndis;Eset Personal Firewall; C:\WINDOWS\system32\DRIVERS\Epfwndis.sys [2008-07-01 30728]

R3 FETNDIS;Pilote NT de carte VIA PCI 10/100Mo Fast Ethernet; C:\WINDOWS\System32\DRIVERS\fetnd5.sys [2001-08-17 27165]

R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2008-01-19 15664]

R3 L8042Kbd;Logitech SetPoint Keyboard Driver; C:\WINDOWS\system32\DRIVERS\L8042Kbd.sys [2006-05-10 13568]

R3 LHidKe;Logitech SetPoint HID Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidKE.Sys [2006-05-10 27264]

R3 LHidUsbK;Logitech SetPoint USB Receiver device driver; C:\WINDOWS\System32\Drivers\LHidUsbK.Sys [2006-05-10 36736]

R3 LMouKE;Logitech SetPoint Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouKE.Sys [2006-05-10 71680]

R3 MBAMProtector;MBAMProtector; \??\C:\WINDOWS\system32\drivers\mbam.sys []

R3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-23 12288]

R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824]

R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2005-11-11 3532928]

R3 RegGuard;RegGuard; \??\C:\WINDOWS\system32\Drivers\regguard.sys []

R3 usbehci;Pilote miniport de contrôleur hôte amélioré USB 2.0 Microsoft; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208]

R3 usbhub;Pilote de concentrateur standard USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520]

R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-13 20608]

R3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys [2003-04-23 33588]

R4 eamon;EAMON; C:\WINDOWS\system32\DRIVERS\eamon.sys []

R4 epfwtdir;epfwtdir; C:\WINDOWS\system32\DRIVERS\epfwtdir.sys []

S3 hidusb;Pilote de classe HID Microsoft; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-13 10368]

S3 netrcacm;RCA USB Digital Cable Modem Driver; C:\WINDOWS\System32\DRIVERS\netrcacm.sys [2005-03-08 20648]

S3 nm;Pilote du Moniteur réseau; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2008-04-13 40320]

S3 se58bus;Sony Ericsson Device 088 driver (WDM); C:\WINDOWS\system32\DRIVERS\se58bus.sys [2006-09-05 61536]

S3 se58mdfl;Sony Ericsson Device 088 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se58mdfl.sys [2006-09-05 9360]

S3 se58mdm;Sony Ericsson Device 088 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se58mdm.sys [2006-09-05 97088]

S3 se58mgmt;Sony Ericsson Device 088 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se58mgmt.sys [2006-09-05 88624]

S3 se58nd5;Sony Ericsson Device 088 USB Ethernet Emulation SEMC58 (NDIS); C:\WINDOWS\system32\DRIVERS\se58nd5.sys [2006-09-05 18704]

S3 se58obex;Sony Ericsson Device 088 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se58obex.sys [2006-09-05 86432]

S3 se58unic;Sony Ericsson Device 088 USB Ethernet Emulation SEMC58 (WDM); C:\WINDOWS\system32\DRIVERS\se58unic.sys [2006-09-05 90800]

S3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]

S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]

S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]

S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

S3 WimFltr;WimFltr; C:\WINDOWS\system32\DRIVERS\wimfltr.sys [2008-01-19 128104]

S4 easdrv;easdrv; C:\WINDOWS\system32\DRIVERS\easdrv.sys []

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 AcrSch2Svc;Acronis Scheduler2 Service; C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe [2008-10-13 554264]

R2 CSIScanner;CSIScanner; C:\Program Files\Prevx\prevx.exe [2009-10-10 4368952]

R2 ekrn;Eset Service; C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe [2007-12-21 468224]

R2 KPF4;Kerio Personal Firewall 4; C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe [2005-10-10 1617920]

R2 MBAMService;MBAMService; D:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [2009-09-10 269648]

R2 UxTuneUp;TuneUp Extension de thème; C:\WINDOWS\System32\svchost.exe [2008-04-13 14336]

S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]

S3 EhttpSrv;Eset HTTP Server; C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe []

S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]

S3 gusvc;Google Updater Service; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-09-24 138168]

S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]

S3 TomTomHOMEService;TomTomHOMEService; C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe [2009-08-27 92008]

S4 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-07-25 153376]

S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

S4 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2005-11-11 131139]

 

-----------------EOF-----------------

[Thanos]

salut

 

Désolé pour le délai!!

 

Ok pour le dernier rapport qui ne montre rien de mauvais.

Juste un fichier auquel j'aimerai jeter un oeil stp >>

Rends visibles les fichiers/dossiers cachés comme indiqué ici >> http://www.libellules.ch/afficher_fichiers.php

Repère le fichier suivant >> C:\WINDOWS\winstart.bat. Ne double-clique pas sur le fichier, mais fais un clic avec le bouton droit de ta souris puis choisis Modifier => un fichier au format texte s'ouvre: copie/colle son contenu dans ton prochain message. Ferme le fichier après ca.

 

On supprime ComboFix/OTM du pc >>

 

Passe par le Menu Démarrer > Exécuter ( pour cela utilise la combinaison de touches [Touche Windows]+[R]) > et copie/colle ceci > ComboFix /uninstall

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc.

 

• Relance OtMoveIt 3 en cliquant droit dessus pour l'"exécuter en tant qu'administrateur" puis clique sur le bouton "Clean Up"!
  
   
   
  
• Un message d'alerte apparaît ("Begin cleanup process ?"): clique sur YES
  
   
   
  
• Ferme enfin tout ce que tu étais en train de faire (navigateur, etc...) et clique sur Yes à la demande de redémarrage:
   
  
   
   
  Au redémarrage les outils utilisés auront été supprimés, y compris OtMoveIt 3 !
  

Modifié le 25 octobre 2009 par Thanos

[rebo25]

Bonjour,

Nécessaire fait sauf que le fichier winstart.bat (2 octets)est vierge.

je l'efface?

[rebo25]

je te poste l'image: