Aide pour désinfection PC

[Kaneda]

Bonjour à l'équipe sécurité,

 

Je m'en remet aux spécialistes car je n'arrive plus à avancer dans la désinfection du PC de mon cousin qui m'a appelé à la rescousse.

Les symptomes sont des arrêts du PC (fenêtre rapide avec RUNTIME ERROR puis arrêt PC...) et un UC toujours à 100%.

Après un premier survol, je constate un nombre incroyable de toolbars dont la ASK Toolbar.

Il a windows vista 32b, pare-feu de vista, Avast 5.

J'ai commencé par passer CCleaner qui a nettoyé 10.000 M de cache, temp, etc...

J'ai ensuite passé AD-Remover qui a nettoyé beaucoup (par contre je n'ai plus les rapports car après désinfection j'ai désinstallé l'outil mais les fichiers c:scan et c:clean sont également partis...).

Suite à cela la consommation de l'UC est considérablement descendue.

J'ai ensuite voulu passer MBAM mais impossible de lancer les mises à jour je reçois la fenêtre RUNTIME ERROR et le pc se coupe(il était déjà installé mais jamais utilisé...). Je l'ai alors désinstallé et voulu le réinstaller avec le mbam.exe officiel mais impossible, le message RUNTIME ERROR revient et le PC se coupe.

J'ai alors lancé un scan rapide via Avast mais idem au bout de quelques minutes RUNTIME ERROR puis arrêt du PC.

Je n'arrive donc plus à poursuivre la désinfection.

 

J'ai pu lancé un RSIT dont vous trouverez les deux rapports ci-dessous:

Info : http://www.cijoint.fr/cj201011/cijoecBcWm.txt

Log : http://www.cijoint.fr/cj201011/cij5RtesQl.txt

 

Merci par avance pour votre aide !

Je me chargerais par la suite des MAJ du PC (internet explorer 7, anciennes versions java, etc...)

[pear]

Bonjour,

 

Téléchargez Hijackthis de TrendMicro.

* Décompressez le dans un dossier à la racine du disque dur(généralement C:\)

* Lancer le fichier Hijackthis.exe

* Cliquer sur Do a system scan and save a log file

Cochez:

R3 - URLSearchHook: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files\myBabylon_English\tbmyBa.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files\myBabylon_English\tbmyBa.dll

O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O3 - Toolbar: WalterShop - {9ec204df-0e48-4c32-816e-2e928a4fd9c2} - mscoree.dll (file missing)

O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files\myBabylon_English\tbmyBa.dll

O4 - HKLM\..\Run: [sweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exeO3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O4 - HKCU\..\Run: [OfferBox] C:\Program Files\OfferBox\OfferBox.exe

Cliquez sur fix checked.

 

Télécharger sur le bureauOTM by OldTimer .

Double-clic sur OTM.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Dans le cadre gauche, "Paste Instructions...."

* Copiez /Collez les lignes ci dessous) en vert:

:Files

C:\Program Files\SweetIM\Messenger\SweetIM.exe

C:\ProgramData\SweetIM

C:\Program Files\myBabylon_English\tbmyBa.dll

:Reg

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"OfferBox"=-

[HKLM\Software\Microsoft\Windows\CurrentVersion\\Run]

"SweetIM"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}]

 

 

:Commands

[purity]

[emptytemp]

[Reboot]

Revenez dans OTM,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTM

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTM\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

[/color]

[Kaneda]

Bonjour Pear,

Merci pour la prise en charge.

 

J'ai effectué les actions demandées avec HJT.

 

J'ai également effectué les actions demandées avec OTM. Pour information OTM m'a bien demandé de relancer le PC pour finaliser, ce que j'ai fait. Au reboot du PC le bloc-notes s'est ouvert avec le .log demandé, puis 3sec après le PC c'est éteint tout seul...

J'ai alors rebooté et le .log était à nouveau ouvert et cette fois-ci le PC ne s'est pas re-éteint.

Voici le rapport:

All processes killed

========== FILES ==========

C:\Program Files\SweetIM\Messenger\SweetIM.exe moved successfully.

C:\ProgramData\SweetIM\Messenger\update folder moved successfully.

C:\ProgramData\SweetIM\Messenger\logs folder moved successfully.

C:\ProgramData\SweetIM\Messenger\data\contentdb folder moved successfully.

C:\ProgramData\SweetIM\Messenger\data\Bars\100\default folder moved successfully.

C:\ProgramData\SweetIM\Messenger\data\Bars\100\bar0107 folder moved successfully.

C:\ProgramData\SweetIM\Messenger\data\Bars\100\bar0106chick folder moved successfully.

C:\ProgramData\SweetIM\Messenger\data\Bars\100\bar0105hlwn folder moved successfully.

C:\ProgramData\SweetIM\Messenger\data\Bars\100\bar0104 folder moved successfully.

C:\ProgramData\SweetIM\Messenger\data\Bars\100 folder moved successfully.

C:\ProgramData\SweetIM\Messenger\data\Bars folder moved successfully.

C:\ProgramData\SweetIM\Messenger\data folder moved successfully.

C:\ProgramData\SweetIM\Messenger\conf\users\now-or-never_57@hotmail.fr folder moved successfully.

C:\ProgramData\SweetIM\Messenger\conf\users folder moved successfully.

C:\ProgramData\SweetIM\Messenger\conf folder moved successfully.

C:\ProgramData\SweetIM\Messenger folder moved successfully.

C:\ProgramData\SweetIM folder moved successfully.

File/Folder C:\Program Files\myBabylon_English\tbmyBa.dll not found.

========== REGISTRY ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\OfferBox not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\\Run\\"SweetIM" not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}\ not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 56504 bytes

 

User: Default User

 

User: Francis

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 98438 bytes

->Java cache emptied: 38023695 bytes

->FireFox cache emptied: 33245913 bytes

->Flash cache emptied: 2633322 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 5665676 bytes

%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 743 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 76,00 mb

 

 

OTM by OldTimer - Version 3.1.17.2 log created on 11162010_172112

 

Files moved on Reboot...

File move failed. C:\Windows\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

 

Files moved on Reboot...

File move failed. C:\Windows\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

 

Pour info, j'ai encore le programme Ask and record toolbar 4.01 dans les programmes installés (visible dans panneau de configuration/programmes et fonctionnalités)...

J'attends tes consignes pour la suite, savoir si je peux passe MBAM notamment. Dans tous les cas j'attends tes consignes.

A nouveau merci pour la prise en charge, et un grand merci de la part de mon cousin

 

A te lire,

Kaneda

[pear]

Bonsoir,

Bien entendu , vous pouvez lancer Mbam mais après mises à jour, sinon il ne sert à rein.

Auparavant lancez Ad-Remover, svp.

 

Téléchargez AD-Remover sur le bureau

 

Déconnectez-vous et fermez toutes les applications en cours

Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .

Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel

Cliquez sur "OUI"

Double cliquer sur l'icône Ad-remover sur le bureau

Au menu principal choisir l'optionScanner et Validez

 

Patientez pendant le travail de l'outil.

Poster le rapport qui apparait à la fin .

Il est sauvegardé aussi sous C:\Ad-report.log

 

Ensuite

 

Relancer Ad- remover , choisir l'option Nettoyer

 

Il y aura 2 rapports à poster après Scanner et Nettoyer

 

Pour désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.

Modifié le 16 novembre 2010 par pear

[Kaneda]

Merci pour votre réponse rapide !

J'ai suivi les instructions, vous trouverez les deux rapports ci-après.

J'installe MBAM, le met à jour, et posterais le rapport dans une autre réponse.

En attente de vos instructions.

Kaneda.

 

SCAN:

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 11/11/10 à 11:40

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: TEAM X SCRIPT : UsbFix - AD-Remover - FindyKill

 

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 18:25:24 le 16/11/2010, Mode normal

 

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)

Francis@PC-DE-FRANCIS (FUJITSU SIEMENS AMILO Li 2735)

 

============== RECHERCHE ==============

 

 

 

Clé trouvée: HKCU\Software\AppDataLow\Software\Conduit

Clé trouvée: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar

 

 

============== SCAN ADDITIONNEL ==============

 

** Mozilla Firefox Version [3.6.12 (fr)] **

 

-- C:\Users\Francis\AppData\Roaming\Mozilla\FireFox\Profiles\x294hyu0.default\Prefs.js --

browser.download.dir, C:\\Users\\Francis\\Downloads

browser.download.lastDir, C:\\Users\\Francis\\Desktop

browser.search.defaultenginename, SweetIM Search

browser.search.defaulturl, hxxp://search.sweetim.com/search.asp?src=2&q=

browser.startup.homepage, www.google.fr

browser.startup.homepage_override.mstone, rv:1.9.2.12

keyword.URL, hxxp://search.sweetim.com/search.asp?src=2&q=

 

========================================

 

** Internet Explorer Version [8.0.6001.18975] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\Windows\system32\blank.htm

Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Show_ToolBar: yes

Start Page: hxxp://fr.msn.com/

Use Search Asst: no

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

AutoHide: yes

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Enable Browser Extensions: yes

Local Page: C:\Windows\System32\blank.htm

Search bar: hxxp://search.msn.com/spbasic.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page: hxxp://fr.msn.com/

Use Search Asst: no

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

 

C:\Ad-Report-SCAN[1].txt - 16/11/2010 (2632 Octet(s))

 

Fin à: 18:27:03, 16/11/2010

 

============== E.O.F ==============

 

CLEAN:

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 11/11/10 à 11:40

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: TEAM X SCRIPT : UsbFix - AD-Remover - FindyKill

 

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:27:23 le 16/11/2010, Mode normal

 

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)

Francis@PC-DE-FRANCIS (FUJITSU SIEMENS AMILO Li 2735)

 

============== ACTION(S) ==============

 

 

 

(!) -- Fichiers temporaires supprimés.

 

 

Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit

Erreur suppression clé: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar

 

 

============== SCAN ADDITIONNEL ==============

 

** Mozilla Firefox Version [3.6.12 (fr)] **

 

-- C:\Users\Francis\AppData\Roaming\Mozilla\FireFox\Profiles\x294hyu0.default\Prefs.js --

browser.download.dir, C:\\Users\\Francis\\Downloads

browser.download.lastDir, C:\\Users\\Francis\\Desktop

browser.search.defaultenginename, SweetIM Search

browser.search.defaulturl, hxxp://search.sweetim.com/search.asp?src=2&q=

browser.startup.homepage, www.google.fr

browser.startup.homepage_override.mstone, rv:1.9.2.12

keyword.URL, hxxp://search.sweetim.com/search.asp?src=2&q=

 

========================================

 

** Internet Explorer Version [8.0.6001.18975] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\Windows\system32\blank.htm

Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Show_ToolBar: yes

Start Page: hxxp://fr.msn.com/

Use Search Asst: no

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

AutoHide: yes

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Enable Browser Extensions: yes

Local Page: C:\Windows\System32\blank.htm

Search bar: hxxp://search.msn.com/spbasic.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page: hxxp://fr.msn.com/

Use Search Asst: no

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

 

C:\Ad-Report-CLEAN[1].txt - 16/11/2010 (2632 Octet(s))

C:\Ad-Report-SCAN[1].txt - 16/11/2010 (2761 Octet(s))

 

Fin à: 18:29:10, 16/11/2010

 

============== E.O.F ==============

[Kaneda]

Voici le rapport MBAM (analyse rapide dans un 1er temps).

Pour info les Ask toolbar, Sweetim toolbar etc apparaissent encore dans la liste des programmes.

A vous lire, merci !

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 5128

 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18975

 

16/11/2010 19:09:32

mbam-log-2010-11-16 (19-09-32).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 138592

Temps écoulé: 8 minute(s), 58 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\Interface\{65a16874-2ed0-460e-a547-5fe2ec3a13a7} (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{71e02280-5212-45c3-b174-4d5a35da254f} (Adware.ShopperReports) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[pear]

Bonsoir,

 

Pour info les Ask toolbar, Sweetim toolbar etc apparaissent encore dans la liste des programmes.

 

On a dù manquer quelque chose !

 

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman

Cliquez sur le tournevis

Dans la fenêtre qui s'ouvre, cochez tout.

Clic sur la Loupe pour lancer le scan

Postez en le rapport qui apparait en cliquant l'appareil photo.

Cliquez tout sauf le Prefetch

 

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

[Kaneda]

Bonjour,

 

OK, je ferais l'analyse ZHP cet après-midi.

Pour info, hier après OTM j'en ai profité pour mettre IE8 (IE7 était bourré de toolbars).

Suite à AD-Remover j'ai mis Java à jour, Flash player (activeX et FF plugin), Adobe reader (il avait le 8.1...) et VLC.

L'UC tourne à 1-10% en utilisation normale, le comportement est beaucoup plus sain. Comme dit les toolbars apparaissent encore dans le gestionnaire de programmes mais dans la colonne "date d'installation" et "taille" il n'y a plus rien. Je les ai alors désinstallées via Ccleaner. Dans IE8 dans la barre google par défaut (en haut à droite) il y a encore le choix de passer en moteur de recherche "Sweetim toolbar" ... Bizarre...

A préciser également, hier pendant les manips de MAJ j'ai eu à deux reprises la fenêtre RUNTIME ERROR (je n'arrive pas à lire le reste trop rapide) et un arrêt brutal du PC. Mais il s'agit peut être d'un problème hardware/driver ?.

 

Je transmets le rapport ZHP dans l'après-midi, en espérant qu'il vous en dise plus, merci.

 

Kaneda

[Kaneda]

Bonsoir Pear,

 

Je suis désolé pour ce long délai entre vos consignes et la suite du traitement, mais je n'ai malheureusement pas pu accéder au PC de mon cousin avant ce soir... Pour diverses raisons...

Pour rappel, plein de toolbars, nettoyage fait avec AD-Remover et un script sur OTM; mais encore des traces de mybabylon et SweatIm dans le Programfile. J'ai supprimé manuellement via Ccleaner ces programmes, et cela semble bien mieux, l'UC est en utilisation normale.

 

Vous aviez demandé un ZHP pour y voir plus clair, le voici:

http://www.cijoint.fr/cj201011/cijggRjCVW.txt

 

Encore désolé pour le délai, mais je ne maîtrise pas tout

Merci par avance pour votre analyse et la suite des opérations.

 

Kaneda

Modifié le 29 novembre 2010 par Kaneda

[pear]

Bonjour,

 

Dans ZHPDiag,vous cliquez sur l'icône

Cliquez ensuite successivement sur- ,pour effacer le rapport

et,pour coller la sélection, sur- l'icône

Vérifier que toutes les lignes en vert (et seulement elles) sont dans la fenêtre

O20 - Winlogon Notify: igfxcui . (.Intel Corporation - igfxdev Module.) -- C:\Windows\System32\igfxdev.dll

[HKCU\Software\Ask&Record]

[HKCU\Software\SweetIM]

[HKLM\Software\SweetIM]

R3 - URLSearchHook: (no name) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} Clé orpheline

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} . (.Pas de propriétaire - Pas de description.) (No version) -- C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll

O42 - Logiciel: Ask & Record Toolbar 4.01 - (.Applian Technologies Inc..) [HKLM] -- Ask & Record Toolbar4.01

O42 - Logiciel: myBabylon English Toolbar - (.myBabylon English.) [HKLM] -- myBabylon_English Toolbar

[HKCU\Software\Ask&Record]

O53 - SMSR:HKLM\...\startupreg\Ask and Record FLV Service [Key] . (.Pas de propriétaire - Pas de description.) -- "C:\Program Files\Ask & Record Toolbar\FLVSrvc.exe

O4 - HKLM\..\Run: [NeroFilterCheck] . (.Nero AG - NeroCheck.) -- C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (.not file.)

O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (.not file.)

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll => Microsoft®Windows Welcome Center

O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll => Microsoft®Windows Welcome Center

O53 - SMSR:HKLM\...\startupreg\swg [Key] . (.Pas de propriétaire - Pas de description.) -- "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer".

Acceptez de Redémarrer pour achever le nettoyage.

Copier/coller le rapport dans un prochain message.

 

Téléchargez TFC par OldTimer sur votre Bureau

Faites un double clic sur TFC.exe pour le lancer.

Sous Vista, faites un clic droit sur le fichier et choisissez Exécuter en tant qu'Administrateur

L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours auparavant.

Cliquez sur le bouton Start pour lancer le processus.

Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux.

Laissez le programme s'exécuter sans l'interrompre.

Lorsqu'il aura terminé, l'outil devrait faire redémarrer votre systèmepour parachever le nettoyage..

S'il ne le faisait pas,faites redémarrer manuellement le PC