[Résolu] Infection détectée provoquant un ralentissement au démarrage

[Philou22]

Bonjour,

 

J'ai ouvert un sujet PC très lent au démarrage sous XP - Forums Zebulon.fr sur le forum hardware par rapport au ralentissement de mon PC au démarrage. Suite à un Scan de ZHPDiag sur toutes mes sessions Tonton a détecté des infections, et il m'a donc demandé d'ouvrir ce nouveau sujet sur ce forum afin de les éradiquer! Je vous communique ce lien contenant les logs de mes Scan

 

PC très lent au démarrage sous XP - Forums Zebulon.fr - Page 8

 

Merci d'avance pour votre aide.

 

A+

[tomtom95]

Bonjour Philou22

 

Je vais te prendre en charge, je vais regarder tes rapports et te répond très vite.

 

A+

[tomtom95]

RE

 

Ok plusieurs sessions, qui sont au nombre de 4

PASCAL, SABINE, HERVE, YANN qui sont toutes en tant qu'administrateur

Ce qui peut poser problème car tout le monde peut faire des modifications sur le système, et les autres sessions seront en conflit.

 

Si toujour présent supprimer Sweet IM Search soit dans ajout/suppression de programmes, ou dans les modules de Firefox

Sur l'ensemble des sessions désactive les programmes qui se lancent au démarrage de windows inutilement.

 

Aprés: Sur la session hervé

Télécharge Navilog1 (D' IL-MAFIOSO) sur ton bureau.

 

Désactive temporairement tes défenses (anti-virus et anti-spyware) et ferme toutes les applications en cours.

 

• Clique droit sur le raccourci Navilog1 présent sur le bureau.
  
• Laisse-toi guider. Appuie sur une touche quand on te le demande.le choix de la langue etc...
  
• Au menu principal
  choisis L'option 1 Recherche /Désinfection automatique et valide.
  
• Au message d'avertissement tape sur la touche [entrée]
  
• Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
  
• Laisse l'outil le faire automatiquement
  sinon redémarre ton PC normalement s'il te le demande.
  
• Le bloc-notes va s'ouvrir.
  
• Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.

Note : le rapport est aussi sauvegardé à la racine du disque dur C:\cleannavi.txt

 

• Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
   
  
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  
• Sur le menu principal
  
• clique sur RECHERCHE et patiente le temps de l'analyse
   
  ENSUITE
   
  
• clique sur SUPPRESSION au message clique sur OK ton ordinateur va redémarrer
   
  
• A la fin du scan
  un rapport AdwCleaner.txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner.txt

 

 

Pour une analyse plus compléte de toutes les sessions applique OTL (

Télécharge OTL (de OldTimer)

• Désactive temporairement tes défenses (anti-virus et anti-spyware) et ferme toutes les applications en cours.
  
• Double-clique sur OTL.exe pour le lancer.
  
  Dans le menu contextuel.
  
• L'interface principale s'ouvre :
   
  
   
  
• Dans la section Rapport en haut à droite de la fenêtre
  
• coche Rapport standard
  
• Coche Tous les utilisateurs
  
• Coche également les cases Recherche LOP et Recherche Purity
  
• Dans la partie du bas "Personnalisation"
  copie/colle le contenu de la liste en citation ci-dessous :
   

  netsvcs
  drivers32
  msconfig
  safebootminimal
  safebootnetwork
  activex
  %ALLUSERSPROFILE%Application Data*.
  %ALLUSERSPROFILE%Application Data*.exe /s
  %APPDATA%*.
  %APPDATA%*.exe /s
  %SYSTEMDRIVE%*.exe
  %SYSTEMDRIVE%\spdt.* /s
  %temp%\*.exe /s
  /md5start
  winlogon.exe
  wininit.exe
  explorer.exe
  userinit.exe
  csrss.exe
  smss.exe
  svchost.exe
  services.exe
  uninst.exe
  /md5stop
  %systemroot%*. /mp /s
  %systemroot%system32*.dll /lockedfiles
  %systemroot%Tasks*.job /lockedfiles
  %systemroot%system32drivers*.sys /lockedfiles
  %systemroot%System32config*.sav
  %systemroot%\system32\drivers\*.sys /90
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
  SAVEMBR:0
  hklm\software\clients\startmenuinternet|command /rs
  CREATERESTOREPOINT
  

   
  
• Clique sur le bouton Analyse
  patiente pendant le balayage du système.
  
• Après le balayage
  2) rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)
   
  !!Ne les poste pas sur le forum ils seraient trop long!!
   
  Pour me les transmettre:
  
• héberger le fichier contenant ce rapport ici http://cjoint.com/
  
• Indique ensuite dans ta prochaine réponse l'adresse d'hébergement de ce rapport pour que je puisse le télécharger et l'analyser.

 

A+

[Philou22]

Bonsoir tomtom95,

 

Avant tout merci de t'occuper de mon problème.

1) Je ne savais pas que nous étions tous mis en tant qu'administrateur. Ce n'était pas voulu et je ne sais pas comment remédier à ce bug et donc revenir à un seul administrateur...

2) Je n'ai pas trouvé Sweet IM Search ni dans ajout/suppression des programmes ni dans les modules de Firefox!

3) Je te communique le rapport de Navilog1 sur la session Hervé:

Fix Navipromo version 4.1.1 commencé le 28/09/2012 22:54:22,57

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

 

Outil exécuté depuis C:\navilog1

 

Mise à jour le 07.04.2012 à 20h00 par IL-MAFIOSO

 

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : Unknown CPU Type )

BIOS : Phoenix - AwardBIOS v6.00PG

USER : HERVE ( Administrator )

BOOT : Normal boot

 

Antivirus : Avira Desktop 12.3.0.15 (Not Activated)

 

 

A:\ (USB)

C:\ (Local Disk) - FAT32 - Total:73 Go (Free:30 Go)

D:\ (CD or DVD)

E:\ (CD or DVD)

 

 

Recherche executée en mode normal

 

Nettoyage exécuté au redémarrage de l'ordinateur

 

 

 

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\HERVE\locals~1\Temp effectué !

 

 

*** Sauvegarde du Registre vers dossier Safebackup ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

Certificat Egroup supprimé !

Certificat Electronic-Group supprimé !

Certificat OOO-Favorit supprimé !

 

4) Je te communique le rapport AdwCleaner[R] sur la session de Hervé:

 

# AdwCleaner v2.003 - Rapport créé le 28/09/2012 à 23:22:30

# Mis à jour le 23/09/2012 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : HERVE

# Mode de démarrage : Normal

# Exécuté depuis : C:\Documents and Settings\HERVE\Bureau\adwcleaner.exe

# Option [Recherche]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

 

***** [Registre] *****

 

Clé Présente : HKCU\Software\AskSearchAsst

Clé Présente : HKCU\Software\EoRezo

Clé Présente : HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v15.0.1 (fr)

 

Nom du profil : default

Fichier : C:\Documents and Settings\PASCAL\Application Data\Mozilla\Firefox\Profiles\dhynlzul.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Nom du profil : default

Fichier : C:\Documents and Settings\SABINE\Application Data\Mozilla\Firefox\Profiles\c7jk1e35.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Nom du profil : default

Fichier : C:\Documents and Settings\YANN\Application Data\Mozilla\Firefox\Profiles\hxwole8l.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Nom du profil : default

Fichier : C:\Documents and Settings\HERVE\Application Data\Mozilla\Firefox\Profiles\40rqay0u.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Nom du profil : default

Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\fvdy3cra.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R1].txt - [2008 octets] - [28/09/2012 23:20:14]

AdwCleaner[R2].txt - [1949 octets] - [28/09/2012 23:22:30]

 

########## EOF - C:\AdwCleaner[R2].txt - [2009 octets] ##########

 

5) Je te communique le rapport AdwCleaner sur la session Hervé:

 

# AdwCleaner v2.003 - Rapport créé le 28/09/2012 à 23:27:02

# Mis à jour le 23/09/2012 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : HERVE - PHILIPPE

# Mode de démarrage : Normal

# Exécuté depuis : C:\Documents and Settings\HERVE\Bureau\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\AskSearchAsst

Clé Supprimée : HKCU\Software\EoRezo

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

 

-\\ Mozilla Firefox v15.0.1 (fr)

 

Nom du profil : default

Fichier : C:\Documents and Settings\PASCAL\Application Data\Mozilla\Firefox\Profiles\dhynlzul.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Nom du profil : default

Fichier : C:\Documents and Settings\SABINE\Application Data\Mozilla\Firefox\Profiles\c7jk1e35.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Nom du profil : default

Fichier : C:\Documents and Settings\YANN\Application Data\Mozilla\Firefox\Profiles\hxwole8l.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Nom du profil : default

Fichier : C:\Documents and Settings\HERVE\Application Data\Mozilla\Firefox\Profiles\40rqay0u.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Nom du profil : default

Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\fvdy3cra.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R1].txt - [2008 octets] - [28/09/2012 23:20:14]

AdwCleaner[R2].txt - [2068 octets] - [28/09/2012 23:22:30]

AdwCleaner[s1].txt - [2043 octets] - [28/09/2012 23:27:02]

 

########## EOF - C:\AdwCleaner[s1].txt - [2103 octets] ##########

 

6) Je te communique le rapport OTL :

---OTL.txt:

 

http://cjoint.com/?BIDadcxubFE

 

Extras.txt

http://cjoint.com/?BIDahtIS3n5

 

Voici fin de la manip.

A+

Modifié le 28 septembre 2012 par Philou22

[tomtom95]

RE

 

On verra aprés si tu veux modifier les droits des comptes Administrateur :

 

Voici un début explication

Les Comptes d'utilisateurs

 

A lire aussi

Pourquoi ne pas surfer avec les droits administrateur

Gestion des utilisateurs sous Windows

 

 

Ok pour Navilog1

Certificat Egroup supprimé !

Certificat Electronic-Group supprimé !

Certificat OOO-Favorit supprimé !

 

Des reste d'infection Navipromo ,Magic.control etc...

[Philou22]

Re bonsoir tomtom95,

 

Je viens de te communiquer la fin de la manip.

 

A+ pour ton bilan

[tomtom95]

Bonjour

 

Il faut mieux posté a la suite sinon je n'est pas de notification de nouveau message

 

• Désactive temporairement tes protections (antivirus etc...)
  et ferme toutes les applications en cours
   
  
• Relance OTL Clique sur l'icone présent sur ton bureau
  
• Important :Copie-colle correctement le script dans la fenêtre personnalisation :
   
  

  :OTL
  IE - HKU\S-1-5-21-1710089351-3514957961-2068040991-1008\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
  FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
  FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
  FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
  FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
  FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
  O3 - HKU\S-1-5-21-1710089351-3514957961-2068040991-1008\..\Toolbar\ShellBrowser: (no name) - {0494D0D9-F8E0-41AD-92A3-14154ECE70AC} - No CLSID value found.
  O3 - HKU\S-1-5-21-1710089351-3514957961-2068040991-1008\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
  O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
  O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
  O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/d/4/4/d446e8a9-3a86-4b59-bb19-f5bd11b40367/wmavax.CAB (Reg Error: Value error.)
  O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Value error.)
  O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Reg Error: Value error.)
  O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
  O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
  O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
  O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
  MsConfig - StartUpReg: Advanced SystemCare 5 - hkey= - key= - File not found
   
  :Files
  C:\Documents and Settings\HERVE\Application Data\2waitsoap
  C:\Documents and Settings\HERVE\Application Data\Lavasoft
   
   
  :Commands
  [RESETHOSTS]
  [EMPTYTEMP]
  [EMPTYFLASH]
  [createrestorepoint]
  [Reboot]

• Clique ensuite sur Correction laisse l'outil travailler.
  
• Poste le contenu du nouveau rapport c'est un fichier "LOG"
  Il est sauvegardé dans le dossier C:\OTL\MovedFiles qui doit s'ouvrir avec le bloc-notes.
  
• Copie-colle ce texte dans ta prochaine réponse

 

• Télécharge sur cette page :

RogueKiller (par tigzy). sur le bureau
IMPORTANT:Quitte tous tes programmes en cours
Désactive tes défenses (anti-virus et anti-spyware)
Lance RogueKiller.exe.
Attendre que le Prescan soit fini ...
Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu dans la réponse

 

A+

[Philou22]

Bonsoir tomtom95,

 

1) Scan OTL avec le script copié dans le domaine personnalisation. Je te communique le Log:

 

All processes killed

========== OTL ==========

Registry key HKEY_USERS\S-1-5-21-1710089351-3514957961-2068040991-1008\Software\Microsoft\Internet Explorer\URLSearchHooks not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.

Prefs.js: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 removed from extensions.enabledItems

Prefs.js: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 removed from extensions.enabledItems

Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems

Prefs.js: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 removed from extensions.enabledItems

Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.

Registry key HKEY_USERS\S-1-5-21-1710089351-3514957961-2068040991-1008\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}\ not found.

Registry key HKEY_USERS\S-1-5-21-1710089351-3514957961-2068040991-1008\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Infodelivery\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoResolveSearch deleted successfully.

Starting removal of ActiveX control {0000000A-0000-0010-8000-00AA00389B71}

C:\WINDOWS\Downloaded Program Files\WMAVAX.inf moved successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{0000000A-0000-0010-8000-00AA00389B71}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000000A-0000-0010-8000-00AA00389B71}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0000000A-0000-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000000A-0000-0010-8000-00AA00389B71}\ not found.

Starting removal of ActiveX control {33564D57-0000-0010-8000-00AA00389B71}

C:\WINDOWS\Downloaded Program Files\WMV9VCM.inf moved successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33564D57-0000-0010-8000-00AA00389B71}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33564D57-0000-0010-8000-00AA00389B71}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{33564D57-0000-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33564D57-0000-0010-8000-00AA00389B71}\ not found.

Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.

Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.

Starting removal of ActiveX control {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.

File Animation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab not found.

Starting removal of ActiveX control DirectAnimation Java Classes

Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\DownloadInformation\\INF .

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\DirectAnimation Java Classes\ not found.

File oft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab not found.

Starting removal of ActiveX control Microsoft XML Parser for Java

Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\DownloadInformation\\INF .

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Microsoft XML Parser for Java\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\Advanced SystemCare 5\ deleted successfully.

========== FILES ==========

C:\Documents and Settings\HERVE\Application Data\2waitsoap folder moved successfully.

C:\Documents and Settings\HERVE\Application Data\Lavasoft\Ad-Aware\Quarantine folder moved successfully.

C:\Documents and Settings\HERVE\Application Data\Lavasoft\Ad-Aware\logs folder moved successfully.

C:\Documents and Settings\HERVE\Application Data\Lavasoft\Ad-Aware folder moved successfully.

C:\Documents and Settings\HERVE\Application Data\Lavasoft folder moved successfully.

========== COMMANDS ==========

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

[EMPTYTEMP]

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: All Users

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 729856 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: YANN

->Temp folder emptied: 248008 bytes

->Temporary Internet Files folder emptied: 246162 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 62072562 bytes

->Flash cache emptied: 506 bytes

 

User: Propriétaire

 

User: HERVE

->Temp folder emptied: 16291 bytes

->Temporary Internet Files folder emptied: 49152 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 5980112 bytes

->Flash cache emptied: 506 bytes

 

User: SABINE

->Temp folder emptied: 560808 bytes

->Temporary Internet Files folder emptied: 1255523 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 134534720 bytes

->Flash cache emptied: 940 bytes

 

User: PASCAL

->Temp folder emptied: 1112584 bytes

->Temporary Internet Files folder emptied: 279060 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 56237923 bytes

->Flash cache emptied: 0 bytes

 

User: Invité

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->FireFox cache emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 251,00 mb

 

 

[EMPTYFLASH]

 

User: Default User

 

User: All Users

 

User: NetworkService

 

User: LocalService

 

User: YANN

->Flash cache emptied: 0 bytes

 

User: Propriétaire

 

User: HERVE

->Flash cache emptied: 0 bytes

 

User: SABINE

->Flash cache emptied: 0 bytes

 

User: PASCAL

->Flash cache emptied: 0 bytes

 

User: Invité

 

User: Administrateur

 

Total Flash Files Cleaned = 0,00 mb

 

Restore point Set: OTL Restore Point

 

OTL by OldTimer - Version 3.2.69.0 log created on 09292012_200605

 

Files\Folders moved on Reboot...

 

PendingFileRenameOperations files...

 

Registry entries deleted on Reboot...

 

2) Scan Roguekiller sur la session de Pascal dont je te communique le log ( il me demande de supprimer 2 fichiers SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\... que je n'ai pas supprimé):

 

RogueKiller V8.1.0 [28/09/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/60)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : PASCAL [Droits d'admin]

Mode : Recherche -- Date : 29/09/2012 20:18:20

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 2 ¤¤¤

[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x80567B6D -> HOOKED (Unknown @ 0xBA5DB914)

SSDT[41] : NtCreateKey @ 0x805737EF -> HOOKED (Unknown @ 0xBA5DB8CE)

SSDT[50] : NtCreateSection @ 0x805653B3 -> HOOKED (Unknown @ 0xBA5DB91E)

SSDT[53] : NtCreateThread @ 0x8057888D -> HOOKED (Unknown @ 0xBA5DB8C4)

SSDT[63] : NtDeleteKey @ 0x80595A22 -> HOOKED (Unknown @ 0xBA5DB8D3)

SSDT[65] : NtDeleteValueKey @ 0x80593642 -> HOOKED (Unknown @ 0xBA5DB8DD)

SSDT[68] : NtDuplicateObject @ 0x80574942 -> HOOKED (Unknown @ 0xBA5DB90F)

SSDT[98] : NtLoadKey @ 0x805ADC0B -> HOOKED (Unknown @ 0xBA5DB8E2)

SSDT[122] : NtOpenProcess @ 0x80574B29 -> HOOKED (Unknown @ 0xBA5DB8B0)

SSDT[128] : NtOpenThread @ 0x80590C64 -> HOOKED (Unknown @ 0xBA5DB8B5)

SSDT[177] : NtQueryValueKey @ 0x8056A499 -> HOOKED (Unknown @ 0xBA5DB937)

SSDT[193] : NtReplaceKey @ 0x8064FE38 -> HOOKED (Unknown @ 0xBA5DB8EC)

SSDT[200] : NtRequestWaitReplyPort @ 0x8056DD06 -> HOOKED (Unknown @ 0xBA5DB928)

SSDT[204] : NtRestoreKey @ 0x8064F9CD -> HOOKED (Unknown @ 0xBA5DB8E7)

SSDT[213] : NtSetContextThread @ 0x8062E773 -> HOOKED (Unknown @ 0xBA5DB923)

SSDT[237] : NtSetSecurityObject @ 0x8059818E -> HOOKED (Unknown @ 0xBA5DB92D)

SSDT[247] : NtSetValueKey @ 0x8057DA5B -> HOOKED (Unknown @ 0xBA5DB8D8)

SSDT[255] : NtSystemDebugControl @ 0x8064AA0F -> HOOKED (Unknown @ 0xBA5DB932)

SSDT[257] : NtTerminateProcess @ 0x805857B9 -> HOOKED (Unknown @ 0xBA5DB8BF)

IRP[iRP_MJ_CREATE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7859B40)

IRP[iRP_MJ_CLOSE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7859B40)

IRP[iRP_MJ_DEVICE_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7859B40)

IRP[iRP_MJ_INTERNAL_DEVICE_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7859B40)

IRP[iRP_MJ_POWER] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7859B40)

IRP[iRP_MJ_SYSTEM_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7859B40)

IRP[iRP_MJ_PNP] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7859B40)

IRP[DriverStartIo] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF7857864)

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

ÿþ1

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Maxtor 6Y080L0 +++++

--- User ---

[MBR] 2d36986134512ee70ccd2e9660447704

[bSP] f284015262a8e30265790968f9e5ffe7 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 74916 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

A+

Modifié le 29 septembre 2012 par Philou22

[tomtom95]

Bonsoir Philou22

 

• Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus et anti-spyware)
  
• Relance RogueKiller.exe.
  
• Attendre que le Prescan soit fini ...
  
• Cliquer sur Scan.
  
• Cliquer sur Suppression.
  
• Clique sur Host RAZ
  
• Clique sur Proxy RAZ
  
• Clique sur DNS RAZ
  
• Cliquer sur Racc. RAZ
  
• Cliquer sur les Rapports et post le contenu via Cjoint les liens dans ta prochaine réponse

 

Fait la mise à jour Malwarebytes,présent sur ton ordinateur ,puis scanne rapide sur chaque session.

 

Question lenteur au démarrage un retour d'infos stp

 

A+

Modifié le 29 septembre 2012 par tomtom95

[Philou22]

Re tomtom95,

 

1)Je te communique les 6 liens correspondants aux Scans Roguekiller:

 

Lien CJoint.com BIDxySUc4nX

Lien CJoint.com BIDxAPgEZf4

Lien CJoint.com BIDxBeTmeYJ

Lien CJoint.com BIDxBH0XF0I

Lien CJoint.com BIDxCafLuNv

Lien CJoint.com BIDxCApQ92X

 

2)CR des scans option rapide via MBAM sur toutes les sessions:

Sur session P*** aucune infection

Sur session Y***:

Registry Keys Detected: 1

HKCU\Software\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

Sur session H***:

Registry Values Detected: 4

HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} (Adware.MywaySearch) -> Data: -> Quarantined and deleted successfully.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser|{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} (Adware.MywaySearch) -> Data: ÙДàø­A’£NÎp¬ -> Quarantined and deleted successfully.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} (Adware.MywaySearch) -> Data: ÙДàø­A’£NÎp¬ -> Quarantined and deleted successfully.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} (Adware.MywaySearch) -> Data: -> Quarantined and deleted successfully.

Sur session S***:

Registry Values Detected: 2

HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} (Adware.MywaySearch) -> Data: -> Quarantined and deleted successfully.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} (Adware.MywaySearch) -> Data: ÙДàø­A’£NÎp¬ -> Quarantined and deleted successfully.

 

Conclusion: Malheureusement pas d'amélioration au démarrage du PC

 

Merci pour ton aide

A+

Modifié le 29 septembre 2012 par Philou22