Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PC Rogue-killé ?


 Share

Messages recommandés

Bonsoir à toutes et à tous.

 

Un petit topo pour commencer :

 

Pc d'une connaissance, sous Vista, déjà désinfecté par vos bons soins, un propriétaire qui ne connait vraiment pas grand chose en informatique et que je soupçonne, peut-être à tort, d'être parfois téméraire.

 

Les faits :

 

Il achète un Norton pour 3 Pc. Je l'installe sur un portable Windows 8, sur un autre portable windows 7 sur lequel j'enlève d'abord Avira et lui demande s'il fera bien lui-même sur sa tour. Il dit que oui.

Le lendemain, il téléphone pour dire qu'il a un problème après avoir essayé d'installer Norton, Internet Explorer a disparu de sa barre des tâches, son Windows média player etc.

Je lui conseile de faire une restauration système : elle démarre mais n'aboutit pas (message d'erreur).

Il fait tourner RogueKiller, options 1 à 6 et là, ses raccourcis deviennent inactifs : plus de dossiers cibles à l'endroit renseigné.

Je vais chez lui, il n'a effectivement plus un certain nombre de programmes.De mémoire, il me semble les voir dans son explorateur dans une arborescence sous System Volume Information.

J'essaye de faire glisser un programme plus haut dans l'arborescence, il disparaît.

J'essaye un autre point de restauration : échec me dit-il après avoir redémarré. Pour le dépanner, je vais rechercher sur le net IE et le réinstalle sans problème.

Je n'ai pas le temps de regarder plus ce jour là. Je retourne dans l'arborescence, je ne vois plus rien.

Il me sonne le lendemain pour me dire plus de windows média player, plus de jeux vista, plus de gadgets etc. Je lui propose d'emmener sa tour et de vous soumettre son infortune.

 

Questions : a)un second passage de Rogue Killer pourrait-il avoir un effet inverse au premier pour autant que le premier ait eu un impact ? Cela a-t'il du sens de le tenter ?

b)La non restauration peut-elle être la cause de tout cela ? Je viens d'afficher les fichiers cachés et je vois que le dossier système volume information est vide alors qu'il me laisse le choix entre une dizaine, quinzaine de dates.

 

Voici les rapports des tâches 1,2 et 6 de Rogue Killer, les autres sont disponibles.

 

1)RogueKiller V8.2.2 [03/11/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : christian [Droits d'admin]

Mode : Recherche -- Date : 05/11/2012 20:54:44

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 4 ¤¤¤

[services][ROGUE ST] HKLM\[...]\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (\??\C:\Program Files\CyberLink\PlayMovie\000.fcl) -> TROUVÉ

[services][ROGUE ST] HKLM\[...]\ControlSet002\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (\??\C:\Program Files\CyberLink\PlayMovie\000.fcl) -> TROUVÉ

[TASK][sUSP PATH] {DB9F4296-8403-4B1B-BAA8-B4F73BAC4D34} : C:\Windows\System32\pcalua.exe -a C:\Users\CHRIST~1\AppData\Local\Temp\Magentic\MAGENT~1\bin\mgsetup.exe -d C:\Users\CHRIST~1\AppData\Local\Temp\Magentic\MAGENT~1\bin -c /install /addon:Magentic -> TROUVÉ

[sCREENSV][sUSP PATH] HKCU\[...]\Desktop (C:\Users\CHRIST~1\Desktop\rkill.scr) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[13] : NtAlertResumeThread @ 0x8209E65D -> HOOKED (Unknown @ 0x86AA6CD0)

SSDT[14] : NtAlertThread @ 0x82017295 -> HOOKED (Unknown @ 0x86AA6DB0)

SSDT[18] : NtAllocateVirtualMemory @ 0x8205354B -> HOOKED (Unknown @ 0x86961ED0)

SSDT[21] : NtAlpcConnectPort @ 0x81FF588B -> HOOKED (Unknown @ 0x8622FF70)

SSDT[42] : NtAssignProcessToJobObject @ 0x81FC8B47 -> HOOKED (Unknown @ 0x86AA9ED0)

SSDT[67] : NtCreateMutant @ 0x8202B862 -> HOOKED (Unknown @ 0x86AA7D98)

SSDT[77] : NtCreateSymbolicLinkObject @ 0x81FCB35E -> HOOKED (Unknown @ 0x86AAAE50)

SSDT[78] : NtCreateThread @ 0x8209CC74 -> HOOKED (Unknown @ 0x86A9BD28)

SSDT[116] : NtDebugActiveProcess @ 0x8206FD78 -> HOOKED (Unknown @ 0x86AA9F90)

SSDT[129] : NtDuplicateObject @ 0x82003581 -> HOOKED (Unknown @ 0x86AA0D60)

SSDT[147] : NtFreeVirtualMemory @ 0x81E8FF1D -> HOOKED (Unknown @ 0x86AA5ED0)

SSDT[156] : NtImpersonateAnonymousToken @ 0x81FC5F16 -> HOOKED (Unknown @ 0x86AA7E88)

SSDT[158] : NtImpersonateThread @ 0x81FDB553 -> HOOKED (Unknown @ 0x86AA7F48)

SSDT[165] : NtLoadDriver @ 0x81F76DEE -> HOOKED (Unknown @ 0x8622FEF8)

SSDT[177] : NtMapViewOfSection @ 0x8201B8DA -> HOOKED (Unknown @ 0x86AA5DD0)

SSDT[184] : NtOpenEvent @ 0x82004DFF -> HOOKED (Unknown @ 0x86AA7CB8)

SSDT[194] : NtOpenProcess @ 0x8202BFFE -> HOOKED (Unknown @ 0x86B83AF8)

SSDT[195] : NtOpenProcessToken @ 0x8200CA60 -> HOOKED (Unknown @ 0x86B83A38)

SSDT[197] : NtOpenSection @ 0x8201C6AD -> HOOKED (Unknown @ 0x86AA8E68)

SSDT[201] : NtOpenThread @ 0x8202754F -> HOOKED (Unknown @ 0x86AA0E30)

SSDT[210] : NtProtectVirtualMemory @ 0x82025332 -> HOOKED (Unknown @ 0x86AA9DE0)

SSDT[282] : NtResumeThread @ 0x82026B9A -> HOOKED (Unknown @ 0x86AA6E90)

SSDT[289] : NtSetContextThread @ 0x8209E10B -> HOOKED (Unknown @ 0x86AA2DC0)

SSDT[305] : NtSetInformationProcess @ 0x8201F908 -> HOOKED (Unknown @ 0x86AA2EA0)

SSDT[317] : NtSetSystemInformation @ 0x81FF1EEF -> HOOKED (Unknown @ 0x86AA8D20)

SSDT[330] : NtSuspendProcess @ 0x8209E597 -> HOOKED (Unknown @ 0x86AA8F48)

SSDT[331] : NtSuspendThread @ 0x81FA592D -> HOOKED (Unknown @ 0x86AA6F70)

SSDT[334] : NtTerminateProcess @ 0x81FFC173 -> HOOKED (Unknown @ 0x8695FC90)

SSDT[335] : unknown @ 0x82027584 -> HOOKED (Unknown @ 0x86AA2CE0)

SSDT[348] : NtUnmapViewOfSection @ 0x8201BB9D -> HOOKED (Unknown @ 0x86AA2F90)

SSDT[358] : NtWriteVirtualMemory @ 0x8201896D -> HOOKED (Unknown @ 0x86AA5FC0)

SSDT[382] : NtCreateThreadEx @ 0x82027039 -> HOOKED (Unknown @ 0x86AAAF70)

S_SSDT[317] : NtUserAttachThreadInput -> HOOKED (Unknown @ 0x86D04108)

S_SSDT[397] : NtUserGetAsyncKeyState -> HOOKED (Unknown @ 0x86B5FC90)

S_SSDT[428] : NtUserGetKeyboardState -> HOOKED (Unknown @ 0x86333A80)

S_SSDT[430] : NtUserGetKeyState -> HOOKED (Unknown @ 0x86D0B258)

S_SSDT[442] : NtUserGetRawInputData -> HOOKED (Unknown @ 0x86B9ED10)

S_SSDT[479] : NtUserMessageCall -> HOOKED (Unknown @ 0x86B60D98)

S_SSDT[497] : NtUserPostMessage -> HOOKED (Unknown @ 0x86B5CD78)

S_SSDT[498] : NtUserPostThreadMessage -> HOOKED (Unknown @ 0x86B60E68)

S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x86B91D40)

S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x86331EF0)

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD32 00AAJS-22L7A SCSI Disk Device +++++

--- User ---

[MBR] b4a37b03620890889d33f4bfce0bead4

[bSP] 72f352938541f5b6c0a973eb047b2f10 : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 291931 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1]_S_05112012_205444.txt >>

RKreport[1]_S_05112012_205444.txt

 

2)RogueKiller V8.2.2 [03/11/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : christian [Droits d'admin]

Mode : Suppression -- Date : 05/11/2012 20:54:59

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 4 ¤¤¤

[services][ROGUE ST] HKLM\[...]\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (\??\C:\Program Files\CyberLink\PlayMovie\000.fcl) -> SUPPRIMÉ

[services][ROGUE ST] HKLM\[...]\ControlSet002\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (\??\C:\Program Files\CyberLink\PlayMovie\000.fcl) -> SUPPRIMÉ

[TASK][sUSP PATH] {DB9F4296-8403-4B1B-BAA8-B4F73BAC4D34} : C:\Windows\System32\pcalua.exe -a C:\Users\CHRIST~1\AppData\Local\Temp\Magentic\MAGENT~1\bin\mgsetup.exe -d C:\Users\CHRIST~1\AppData\Local\Temp\Magentic\MAGENT~1\bin -c /install /addon:Magentic -> SUPPRIMÉ

[sCREENSV][sUSP PATH] HKCU\[...]\Desktop (C:\Users\CHRIST~1\Desktop\rkill.scr) -> REMPLACÉ (C:\Windows\system32\logon.scr)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[13] : NtAlertResumeThread @ 0x8209E65D -> HOOKED (Unknown @ 0x86AA6CD0)

SSDT[14] : NtAlertThread @ 0x82017295 -> HOOKED (Unknown @ 0x86AA6DB0)

SSDT[18] : NtAllocateVirtualMemory @ 0x8205354B -> HOOKED (Unknown @ 0x86961ED0)

SSDT[21] : NtAlpcConnectPort @ 0x81FF588B -> HOOKED (Unknown @ 0x8622FF70)

SSDT[42] : NtAssignProcessToJobObject @ 0x81FC8B47 -> HOOKED (Unknown @ 0x86AA9ED0)

SSDT[67] : NtCreateMutant @ 0x8202B862 -> HOOKED (Unknown @ 0x86AA7D98)

SSDT[77] : NtCreateSymbolicLinkObject @ 0x81FCB35E -> HOOKED (Unknown @ 0x86AAAE50)

SSDT[78] : NtCreateThread @ 0x8209CC74 -> HOOKED (Unknown @ 0x86A9BD28)

SSDT[116] : NtDebugActiveProcess @ 0x8206FD78 -> HOOKED (Unknown @ 0x86AA9F90)

SSDT[129] : NtDuplicateObject @ 0x82003581 -> HOOKED (Unknown @ 0x86AA0D60)

SSDT[147] : NtFreeVirtualMemory @ 0x81E8FF1D -> HOOKED (Unknown @ 0x86AA5ED0)

SSDT[156] : NtImpersonateAnonymousToken @ 0x81FC5F16 -> HOOKED (Unknown @ 0x86AA7E88)

SSDT[158] : NtImpersonateThread @ 0x81FDB553 -> HOOKED (Unknown @ 0x86AA7F48)

SSDT[165] : NtLoadDriver @ 0x81F76DEE -> HOOKED (Unknown @ 0x8622FEF8)

SSDT[177] : NtMapViewOfSection @ 0x8201B8DA -> HOOKED (Unknown @ 0x86AA5DD0)

SSDT[184] : NtOpenEvent @ 0x82004DFF -> HOOKED (Unknown @ 0x86AA7CB8)

SSDT[194] : NtOpenProcess @ 0x8202BFFE -> HOOKED (Unknown @ 0x86B83AF8)

SSDT[195] : NtOpenProcessToken @ 0x8200CA60 -> HOOKED (Unknown @ 0x86B83A38)

SSDT[197] : NtOpenSection @ 0x8201C6AD -> HOOKED (Unknown @ 0x86AA8E68)

SSDT[201] : NtOpenThread @ 0x8202754F -> HOOKED (Unknown @ 0x86AA0E30)

SSDT[210] : NtProtectVirtualMemory @ 0x82025332 -> HOOKED (Unknown @ 0x86AA9DE0)

SSDT[282] : NtResumeThread @ 0x82026B9A -> HOOKED (Unknown @ 0x86AA6E90)

SSDT[289] : NtSetContextThread @ 0x8209E10B -> HOOKED (Unknown @ 0x86AA2DC0)

SSDT[305] : NtSetInformationProcess @ 0x8201F908 -> HOOKED (Unknown @ 0x86AA2EA0)

SSDT[317] : NtSetSystemInformation @ 0x81FF1EEF -> HOOKED (Unknown @ 0x86AA8D20)

SSDT[330] : NtSuspendProcess @ 0x8209E597 -> HOOKED (Unknown @ 0x86AA8F48)

SSDT[331] : NtSuspendThread @ 0x81FA592D -> HOOKED (Unknown @ 0x86AA6F70)

SSDT[334] : NtTerminateProcess @ 0x81FFC173 -> HOOKED (Unknown @ 0x8695FC90)

SSDT[335] : unknown @ 0x82027584 -> HOOKED (Unknown @ 0x86AA2CE0)

SSDT[348] : NtUnmapViewOfSection @ 0x8201BB9D -> HOOKED (Unknown @ 0x86AA2F90)

SSDT[358] : NtWriteVirtualMemory @ 0x8201896D -> HOOKED (Unknown @ 0x86AA5FC0)

SSDT[382] : NtCreateThreadEx @ 0x82027039 -> HOOKED (Unknown @ 0x86AAAF70)

S_SSDT[317] : NtUserAttachThreadInput -> HOOKED (Unknown @ 0x86D04108)

S_SSDT[397] : NtUserGetAsyncKeyState -> HOOKED (Unknown @ 0x86B5FC90)

S_SSDT[428] : NtUserGetKeyboardState -> HOOKED (Unknown @ 0x86333A80)

S_SSDT[430] : NtUserGetKeyState -> HOOKED (Unknown @ 0x86D0B258)

S_SSDT[442] : NtUserGetRawInputData -> HOOKED (Unknown @ 0x86B9ED10)

S_SSDT[479] : NtUserMessageCall -> HOOKED (Unknown @ 0x86B60D98)

S_SSDT[497] : NtUserPostMessage -> HOOKED (Unknown @ 0x86B5CD78)

S_SSDT[498] : NtUserPostThreadMessage -> HOOKED (Unknown @ 0x86B60E68)

S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x86B91D40)

S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x86331EF0)

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD32 00AAJS-22L7A SCSI Disk Device +++++

--- User ---

[MBR] b4a37b03620890889d33f4bfce0bead4

[bSP] 72f352938541f5b6c0a973eb047b2f10 : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 291931 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[2]_D_05112012_205459.txt >>

RKreport[1]_S_05112012_205444.txt ; RKreport[2]_D_05112012_205459.txt

 

6)RogueKiller V8.2.2 [03/11/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : christian [Droits d'admin]

Mode : Raccourcis RAZ -- Date : 05/11/2012 20:56:54

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 0 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 0 / Fail 0

Menu demarrer: Success 0 / Fail 0

Dossier utilisateur: Success 69 / Fail 0

Mes documents: Success 6 / Fail 6

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 0 / Fail 8

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[D:] \Device\CdRom0 -- 0x5 --> Skipped

 

Termine : << RKreport[6]_SC_05112012_205654.txt >>

RKreport[1]_S_05112012_205444.txt ; RKreport[2]_D_05112012_205459.txt ; RKreport[3]_H_05112012_205521.txt ; RKreport[4]_PR_05112012_205531.txt ; RKreport[5]_DN_05112012_205537.txt ;

RKreport[6]_SC_05112012_205654.txt

 

 

 

Je reste disponible pour vous fournir tout autre rapport que vous jugeriez utile.

Merci d'avance pour toute information qui pourrait m'être utile pour essayer de remettre ce pc dans son état initial.

Je suis bien conscient qu'il ne s'agit peut-être pas d'une infection, mais comme RogueKiller a été employé et qu'il est connu des experts de ce sous forum, il me paraissait opportun de commencer par là.

En attendant de vous lire, merci encore.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour

Il est fort possible qu'il y est eu un conflit avec "Magentic" qui de son coté a protégé le registre :chpas:

 

Fait ceci pour voir un peu plus s.t.p.

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

 

 

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

 

110204080230569695.jpg

 

ET :

 

Si le bouton UAC apparaît dans le panel supérieur cela signifie que votre UAC est activée. L'activation de l'UAC gène l'analyse deZHPDiag sur certains modules (O18,O23,O42,...).

Aussi pour permettre un scan complet de l'outil, vous devez au préalable cliquer sur ce bouton.

Ce qui aura pour conséquence de relancer ZHPDiag avec une désactivation temporaire de l'UAC.

A la fin de l'installation ZHPDiag va se lancer....

 

Cliques sur "Lancer le diagnostic " (image de la loupe) et patiente...

 

A la fin du scan le rapport est sauvegardé directement sur ton bureau.

ZHPDiag.txt

 

Mets le rapport ici car il prend bien de la place.

Accueil de Cjoint.com

ou.

Envoyez et partagez vos fichiers

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Bernard et merci d'avoir pris le sujet en charge.

 

Voici le lien Cjoint : © CJoint.com, 2012 . Tu y trouveras le rapport demandé.

 

En installant une carte wifi, je suis allé dans système où j'ai vu qu'il me restait 4 jours pour m'enregistrer chez Windows !

Je suppose que tu ne vois pas d'inconvénient à ce que je fasse la manoeuvre ?

 

Le rapport est rempli de .not file en 04 et 23 :sad: .

 

J'attends de tes nouvelles.

Lien vers le commentaire
Partager sur d’autres sites

fait ceci.

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

[MD5.00000000000000000000000000000000] [APT] [4817] (...) -- C:\Users\christian\AppData\Local\Temp\launchie.vbs \\B (.not file.)

[MD5.00000000000000000000000000000000] [APT] [DriverScanner] (...) -- C:\Program Files\Uniblue\DriverScanner\dsmonitor.exe (.not file.)

[MD5.00000000000000000000000000000000] [APT] [GoogleUpdateTaskMachineCore] (...) -- C:\Program Files\Google\Update\GoogleUpdate.exe (.not file.)

[MD5.00000000000000000000000000000000] [APT] [GoogleUpdateTaskMachineUA] (...) -- C:\Program Files\Google\Update\GoogleUpdate.exe (.not file.)

[MD5.00000000000000000000000000000000] [APT] [Norton Product InstallerIdle] (...) -- C:\Windows\System32\Adobe\Shockwave 11\SymInstallStub.exe (.not file.)

[MD5.00000000000000000000000000000000] [APT] [RegistryBooster] (...) -- C:\Program Files\Uniblue\RegistryBooster\rbmonitor.exe (.not file.)

[MD5.00000000000000000000000000000000] [APT] [scheduled Update for Ask Toolbar] (...) -- C:\Program Files\Ask.com\UpdateTask.exe (.not file.)

[MD5.A31156B8D80A68E8F4354C63E0747BEB] [APT] [{DE60CB2A-BAF9-4303-A196-45EF6A020217}] (...) -- C:\Users\christian\Downloads\eMule0.50a-Installer.exe

[MD5.00000000000000000000000000000000] [APT] [{DF8466E6-C68A-409E-8C29-8F1EC2EBAC4C}] (...) -- C:\Users\christian\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\O9UYGWZO\wmp11-windowsxp-x86-FR-FR.exe (.not file.)

O42 - Logiciel: Bejeweled Twist 1.0.3.8137 - (.PopCap Games.) [HKLM] -- Bejeweled Twist 1.0.3.8137

[MD5.917DF5F26A93A83BD7978268398B07CA] [sPRF][5/11/2012] (.Complitly - Complitly Setup.) -- C:\Users\christian\AppData\Local\Temp\BetterinstallerAcPro.exe [893552]

[MD5.77DFB27D68CE46659A3D5E93410C0B75] [sPRF][5/11/2012] (.Babylon Ltd. - Babylon Client Setup.) -- C:\Users\christian\AppData\Local\Temp\MyBabylonTB_google_20120807.exe [899224]

[MD5.FF6E0179F60F08B648AEBD597EF0CAF1] [sPRF][5/11/2012] (.Somoto Ltd. - FilesFrog Update Checker.) -- C:\Users\christian\AppData\Local\Temp\UpdateCheckerSetup.exe [260040]

[MD5.AE7E0C99C5BC7D28325C0CD7885C851F] [sPRF][24/10/2012] (.Yontoo LLC - Installer.) -- C:\Users\christian\AppData\Local\Temp\YontooSetup-S.exe [1062504]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a}]

O43 - CFD: 27/10/2010 - 17:03:56 - [0,733] ----D C:\Users\christian\AppData\Roaming\magentictb

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a}]

C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar

O4 - Global Startup: C:\Users\christian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Windows Media Player.lnk . (...) -- C:\Program Files\Windows Media Player\wmplayer.exe (.not file.)

 

 

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

12101108185715405010422601.png

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

 

Ensuite ceci.

Tu as trop de chose au démarrage du pc.

 

Tu peux contrôler le démarrage de tous ces processus avec un logiciel comme Starter de Code Stuff.

Télécharge et installe Code Stuff Starter :

 

Télécharger Starter

 

Ensuite vas dans l’onglet démarrage et décoches les lignes voulues.

 

Ne t'inquiète pas si a l'usage tu veux réactiver l'une d'elles, il suffit de la. recocher

 

Elles sont lancées inutilement au démarrage du système et cela ne comporte aucun danger.

 

 

Lignes à décocher qui sont en relation.

 

 

O4 - HKLM\..\Run: [FujiKeyboard] . (.Packard Bell BV - Activboard Application.) -- c:\Acer\Preload\Autorun\DRV\FUJI Keyboard\ABoard.exe

O4 - HKLM\..\Run: [smpcSys] C:\Program Files\Packard Bell\SetupMyPC\SmpSys.exe (.not file.)

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe (.not file.

O4 - HKLM\..\Run: [skytel] . (.Realtek Semiconductor Corp. - Realtek Voice Manager.) -- C:\Windows\Skytel.exe

O4 - HKLM\..\Run: [PCMAgent] C:\Program Files\CyberLink\PowerCinema\PCMAgent.exe (.not file.)

O4 - HKLM\..\Run: [CLMLServer] C:\Program Files\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe (.not file.)

O4 - HKLM\..\Run: [PlayMovie] C:\Program Files\CyberLink\PlayMovie\PMVService.exe (.not file.)

O4 - HKLM\..\Run: [NvCplDaemon] . (.NVIDIA Corporation - NVIDIA Display Properties Extension.) -- C:\Windows\system32\NvCpl.dll

O4 - HKLM\..\Run: [NvMediaCenter] . (.NVIDIA Corporation - NVIDIA Media Center Library.) -- C:\Windows\system32\NvMcTray.dll

O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe =

O4 - HKLM\..\Run: [Google Desktop Search] C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (.not fil

O4 - HKLM\..\Run: [APSDaemon] . (.Apple Inc. - Apple Push.) -- C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe

O4 - HKCU\..\Run: [smpcSys] C:\Program Files\PACKARD BELL\SetUpMyPC\SmpSys.exe (.not file.)

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (.not file.)

O4 - HKCU\..\Run: [msnmsgr] C:\Program Files\Windows Live\Messenger\msnmsgr.exe (.not file.)

O4 - HKCU\..\Run: [Google Update] . (.Google Inc. - Programme d'installation de Google.) -- C:\Users\christian\AppData\Local\Google\Update\GoogleUpdate.exe

O4 - HKCU\..\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe (.not file

O4 - HKCU\..\Run: [CollaborationHost] . (.Microsoft Corporation - Voisinage immédiat.) -- C:\Windows\system32\p2phost.exe

O4 - HKCU\..\Run: [RegistryBooster] C:\Program Files\Uniblue\RegistryBooster\launcher.exe (.not file.)

O4 - HKCU\..\Run: [DriverScanner] C:\Program Files\Uniblue\DriverScanner\launcher.exe (.not file.) =>

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (.not file.

O4 - HKUS\S-1-5-19\..\Run: [sidebar] C:\Program Files\Windows Sidebar\Sidebar.exe (.not file.)

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll

O4 - HKUS\S-1-5-20\..\Run: [sidebar] C:\Program Files\Windows Sidebar\Sidebar.exe (.not file

O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll

O4 - HKUS\S-1-5-21-973575474-1010190934-1435461307-1000\..\Run: [smpcSys] C:\Program Files\PACKARD BELL\SetUpMyPC\SmpSys.exe (.not file.)

O4 - HKUS\S-1-5-21-973575474-1010190934-1435461307-1000\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (.not file.)

O4 - HKUS\S-1-5-21-973575474-1010190934-1435461307-1000\..\Run: [msnmsgr] C:\Program Files\Windows Live\Messenger\msnmsgr.exe (.not file.)

O4 - HKUS\S-1-5-21-973575474-1010190934-1435461307-1000\..\Run: [Google Update] . (.Google Inc. - Programme d'installation de Google.) -- C:\Users\christian\AppData\Local\Google\Update\GoogleUpdate.exe

O4 - HKUS\S-1-5-21-973575474-1010190934-1435461307-1000\..\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe (.not file.

O4 - HKUS\S-1-5-21-973575474-1010190934-1435461307-1000\..\Run: [CollaborationHost] . (.Microsoft Corporation - Voisinage immédiat.) -- C:\Windows\system32\p2phost.exe

O4 - HKUS\S-1-5-21-973575474-1010190934-1435461307-1000\..\Run: [RegistryBooster] C:\Program Files\Uniblue\RegistryBooster\launcher.exe (.not file.)

O4 - HKUS\S-1-5-21-973575474-1010190934-1435461307-1000\..\Run: [DriverScanner] C:\Program Files\Uniblue\DriverScanner\launcher.exe (.not file.)

O4 - HKUS\S-1-5-21-973575474-1010190934-1435461307-1000\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (.not file.)

 

 

 

Redémarres le pc ensuite pour constater le mieux. ;)

Lien vers le commentaire
Partager sur d’autres sites

Merci de ta réponse.

Voici le rapport Zhpfix :

 

Rapport de ZHPFix 1.3.06 par Nicolas Coolman, Update du 09/11/2012

Fichier d'export Registre :

Run by christian at 15/11/2012 18:59:33

Windows Vista Home Basic Edition, 32-bit Service Pack 2 (Build 6002)

 

 

 

========== Logiciel(s) ==========

ABSENT Software Key: Bejeweled Twist 1.0.3.8137

 

========== Clé(s) du Registre ==========

ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a}

 

========== Valeur(s) du Registre ==========

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

 

========== Dossier(s) ==========

ABSENT C:\Users\christian\AppData\Roaming\magentictb

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

========== Fichier(s) ==========

ABSENT Folder/File: c:\users\christian\downloads\emule0.50a-installer.exe

ABSENT Folder/File: c:\users\christian\appdata\local\temp\betterinstalleracpro.exe

ABSENT Folder/File: c:\users\christian\appdata\local\temp\mybabylontb_google_20120807.exe

ABSENT Folder/File: c:\users\christian\appdata\local\temp\updatecheckersetup.exe

ABSENT Folder/File: c:\users\christian\appdata\local\temp\yontoosetup-s.exe

ABSENT Folder/File: c:\windows\system32\tasks\scheduled update for ask toolbar

ABSENT File: c:\users\christian\appdata\roaming\microsoft\internet explorer\quick launch\windows media player.lnk

ABSENT File: c:\program files\windows media player\wmplayer.exe

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

========== Tache planifiée ==========

ABSENT Task: 4817

ABSENT Task: DriverScanner

ABSENT Task: GoogleUpdateTaskMachineCore

ABSENT Task: GoogleUpdateTaskMachineUA

ABSENT Task: Norton Product InstallerIdle

ABSENT Task: RegistryBooster

ABSENT Task: Scheduled Update for Ask Toolbar

ABSENT Task: {DE60CB2A-BAF9-4303-A196-45EF6A020217}

ABSENT Task: {DF8466E6-C68A-409E-8C29-8F1EC2EBAC4C}

 

 

========== Récapitulatif ==========

1 : Clé(s) du Registre

2 : Valeur(s) du Registre

3 : Dossier(s)

10 : Fichier(s)

1 : Logiciel(s)

9 : Tache planifiée

 

 

End of clean in 00mn 48s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 15/11/2012 18:59:33 [2140]

 

Je vois que même l'horloge ne sait plus trop l'heure qu'il est réellement (18h33 !!)

 

Si je comprends bien, on nettoye, on rend le démarrage plus rapide.

 

Quid du fait que le pc a l'air de décompter les jours avant activation, la disparition de programmes (windows player, nero, jeux d'origine de Vista ?).

Mais je suis peut-être trop impatient et cela viendra plus tard.

 

En attendant ta prochaine intervention, je vais télécharger Starter de CodeStuff.

 

A te lire

Lien vers le commentaire
Partager sur d’autres sites

Une chose bizarre que je remarque : dans mon explorateur, Système volume information, lorsque je regarde les propriétés, il me dit 0 octets.

 

Je suis en train de faire passer Mbam et je vois qu'il scanne beaucoup de choses dans ce même dossier. Enfin, si c'est le même.

 

C'était pour info pcq cela m'interpellait.

Lien vers le commentaire
Partager sur d’autres sites

OK.

Nous n'avançons plus beaucoup là.

Les corrections ZhpFix donnent comme réponse ABSENT la plupart du temps.

Même chose pour le démarrage : cela concerne souvent des choses que l'on ne "voit" plus.

Soit RogueKiller, soit la(les) restauration(s) avortée(s)est (sont) responsable(s)de ces disparitions ou encore la 1ere tentative d'installation Norton, sauf que les raccourcis étaient toujours actifs à ce moment.

Penses tu que refaire tourner RogueKiller raz des raccourcis (tâche 6) peut éventuellement apporter quelque chose ?

Quel risque est ce que je prends si j'effectue la manoeuvre ?

 

A te lire

 

J'oubliais : il ne me reste que deux jours avant d'activer Vista me dit-il.

Je suppose que je le fais pour éviter de me retrouver devant un écran bloqué ?

Modifié par philou4130
Lien vers le commentaire
Partager sur d’autres sites

qu'a donné Starter de CodeStuff.

 

RogueKiller raz sert quand un virus a caché les raccourcis donc rien à voir avec toi.

si ceux-ci ne fonctionne plus peux être que juste la fait de les recréer va fonctionner :chpas:

 

Sinon récupères ici le REG a fusionner dans le registre pour revalider les extensions .link des raccourcis.

File association fixes for Windows Vista

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir et merci de ta réactivité hier soir, j'ai eu des obligations et n'ai pu donner suite rapidement.

Starter : je m'en suis servi et le trouve facile d'emploi.

Au niveau rapidité de démarrage : difficile se prononcer. En effet, si le pc était lent avant ses problèmes, maintenant que de nombreux programmes et applications ont disparu, il était par la force des choses devenu plus rapide.

J'ai vu le propriétaire de cette tour, je voulais qu'il me remette les cd reçus au départ de chez packardbell.

Et bien, il n'y en a pas : dans leur manuel, ils recommandent avec insistance de faire des cd de sauvegarde et cela n'a pas été fait.

 

1) Je suppose que le faire maintenant avec un vista qui ne restaure plus le système, qui p ex a perdu WMPlayer, ses jeux, qui n'affiche rien quand on clique sur outil d'administration ne servirait pas à grand chose.

Peux tu confirmer ?

 

J'ai réactivé Vista puisque le décompte était arrivé à un jour.

 

J'ai repassé RogueKiller raccourcis, cela n'a rien changé. Vista fixlnk non plus.

En réalité une volée de programmes ont été "déplacés" ou "perdus" et je ne les vois plus avec l'explorateur.

Si ce n'est pas dû à RogueKiller, c'est dû à Norton (je n'y crois pas beaucoup) ou aux essais de restauration qui ont avorté.

 

Comment essayer de réparer Vista sans avoir de cd de sauvegarde ?

Je suppose que ce Vista est tagué packardbell, non ?

D'où ma question au point 1)

 

Je viens de regarder ce point mais les programmes de sauvegarde de packardbell font partie de ceux qui ont disparu. :outch:

 

Est ce possible d'essayer avec une image iso récupérée sur internet ou chez une connaissance si je trouve, de tenter de réparer Vista ?

Est ce qu'un upgrade 7 (proposé en réactivant) à partir d'un vista pourri à une chance de marcher ?

Sinon, étant donné que la restauration système échoue, quel autre moyen existerait pour reintégrer ce qui a disparu ?

 

A te lire, voudrais connaitre ton avis.

Modifié par philou4130
Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...