Rapport HJT pour Michelfc1

[michelfc1]

Fausse manoeuvre sur le précédent envoi:

1) Je demandais si le fait de renommer un fichier " des services"dans le Hkey local était mieux que de le supprimer?

2) C:\WINDOWS\ALCXMNTR.EXE : je le retrouve dans 4 répertoires différents c:\windows\system32\reinstallbackups\0025driverfiles, dans c:\windows\system32\drvstore\alcxwdm_cf7d3fcoab7f7a.....................; dans c:\hp\driver\audio_realtek; et dans c:\windows => J'ai renommer les 3 sauf celui qui se trouve dans HP

Question : est que la manip devait se faire uniquement sous C:\windows?

 

3) Slave .exe => se trouvait dans c:\temp : je l'ai renommé

 

4)

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

 

=> Je ne les ai pas supprimé car ils me servent pour l'accès aux services des impots !!!! et pour le loto

Question : est ce que le fait de les supprimer me cassera les connections à ces services ?

 

5) MSjava est à remplacer par la JVM de Sun MicroSystems sur http://www.java.com/ => J'ai un doute sur ce point car le "service Française des jeux "ne doit pas fonctionner avec JVM sun: Il me semble que le service assistance de la FDJ me l'avait fait modifier pour arriver à me connecter ?

 

Sinon je n'ai pas eu de nouveaux incidents depuis vos conseils sur les modifications à faire, pas de "bug" signalé depuis ces modifications dans mon micro => A suivre

 

Sinon je vous remercie encore pour votre aide à tous les deux, et je vous tiendrai au courant de la suite, au cas où !!!

Amicalement

michelfc1

 

 

 

 

 

re

 

Télécharge EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

 

-redémarre  le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as  préalablement copié ces instructions dans un fichier texte)

 

-Assure toi d'avoir accès à tous les fichiers.

-Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

 

 

O2 - BHO: (no name) - {2440875C-8D5D-6B86-224B-0CD3DAC032F6} - C:\DOCUME~1\PROPRI~1\APPLIC~1\ROADSP~1\Date logo.exe=> si tu ne connais pas cette application coche la.

 

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

 

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

 

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

 

O4 - HKLM\..\Run: [Findanteuploadgrid] C:\Documents and Settings\All Users\Application Data\Love Cast Find Ante\EXTRA ROAD.exe

 

=> aucune info là dessus coche si tu ne connais pas

 

O4 - HKCU\..\Run: [bags four] C:\DOCUME~1\PROPRI~1\APPLIC~1\REFBUR~1\Creative bash.exe

 

=> aucune info là dessus coche si tu ne connais pas

 

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

 

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

 

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe

O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/cha...t/c381/chat.cab

O16 - DPF: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D} (Upload Class) - http://photos.wanadoo.fr/al/presentation/p...ivex/Ephoto.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://paris.tourismeville.wanadoo.fr/AxisCamControl.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

 

O23 - Service: RA Server (Slave) - Unknown owner - C:\WINDOWS\Slave.exe (file missing)

 

-Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

 

-Fais : Démarrer/Exécuter, tape services.msc : recherche RA Server (Slave) et désactive le service

 

-notes le nom interne du service et referme

 

ensuite, menu "démarrer : executer"  et tu tapes :" regedit"

 

dans la partie gauche de la fenetre, à l'aide des petite croix,suis le chemin suivant:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

 

ensuite tu cherches chaque dossier correspondant au nom interne que tu as trouvé

 

dans le  service.

 

-clic droit sur le dossier et --> supprimer

 

si tu as peur de faire une bétise, tu peux lire le document sur la base de registre :

http://www.zebulon.fr/articles/base-de-registre-1.php

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-C:\WINDOWS\ALCXMNTR.EXE

 

J'ai un problème avec ces 2 applications, si tu ne les connais pas vire les dossier correspondants

-C:\Documents and Settings\All Users\Application Data\Love Cast Find Ante

 

-C:\Documents and settings\PROPRI~1\Application data\REFBUR~1

 

-Slave.exe Probablement dans C:\Windows => vire le dossier ,si tu ne le trouve pas utilise la fonction rechercher de l'explorateur.

 

=>Exécute EasyCleaner Inutiles et Registre seulement. Ne  touche pas à la fonction

 

doublon.

 

redémarre et poste un nouveau log hijack

546814[/snapback]

[ipl_001]

Bonsoir michelfc1, bonsoir à tous,

 

Très bien que tout rentre dans l'ordre !

 

Quelques éléments de réponse ci-dessous :

Fausse manoeuvre sur le précédent envoi:

1) Je demandais si le fait de renommer un fichier " des services"dans le Hkey local était mieux que de le supprimer?

Les clés renommées ne doivent pas se multiplier sinon c'est vite le bazar !

Pour un service, il est plus classique de "Désactiver" lorsqu'on n'est pas sûr !

2) C:\WINDOWS\ALCXMNTR.EXE : je le retrouve dans 4 répertoires différents c:\windows\system32\reinstallbackups\0025driverfiles, dans c:\windows\system32\drvstore\alcxwdm_cf7d3fcoab7f7a.....................; dans c:\hp\driver\audio_realtek; et dans c:\windows => J'ai renommer les 3 sauf celui qui se trouve dans HP

Question : est que la manip devait se faire uniquement sous C:\windows?

Non, partout... en étant vigilant de manière à remmettre en fonction s'il y a quelque chose qui cloche !

3) Slave .exe => se trouvait dans c:\temp : je l'ai renommé

Si tu veux mais il est vraiment anormal, voire douteux d'utiliser un programme situé dans temp c'est à dire un répertoire qui est destiné à être vidé de son contenu !

4)

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

 

=> Je ne les ai pas supprimé car ils me servent pour l'accès aux services des impots !!!! et pour le loto

Question : est ce que le fait de les supprimer me cassera les connections à ces services ?

Non !

Les DPF servent à l'installation, pas en permanence ! S'il en a besoin, Windows les retéléchargera !

5) MSjava est à remplacer par la JVM de Sun MicroSystems sur http://www.java.com/ => J'ai un doute sur ce point car le "service Française des jeux "ne doit pas fonctionner avec JVM sun: Il me semble que le service assistance de la FDJ me l'avait fait modifier pour arriver à me connecter ?

Currieux ! Si la FDJ ne peut pas utiliser la JVM de Sun, leur programme est mal fait ! Ne touche pas !

Mais en cas de problème et à condition que HJT soit installé correctement, on peut revenir sur une modification !

Sinon je n'ai pas eu de nouveaux incidents depuis vos conseils sur les modifications à faire, pas de "bug" signalé depuis ces modifications dans mon micro => A suivre

 

Sinon je vous remercie encore pour votre aide à tous les deux, et je vous tiendrai au courant de la suite, au cas où  !!!

Amicalement

michelfc1

547695[/snapback]

[Thanos]

salut michelfc1 , ipl

3) Slave .exe => se trouvait dans c:\temp : je l'ai renommé

tu peux même l'éliminer! étant donné que ce sera le cas tôt ou tard..Cependant comme

 

le dit ipl,étonnant de voir un exe dans un repertoire temp

 

merci pour le retour michel, @+