[RESOLU] Pb bureau sous XP SP1
Forum Sécurité - Virus : [RESOLU] Pb bureau sous XP SP1
Bonjour à tous et merci d'avance
Le pb est apparu il y a environ 2 mois (début juin) et le PC a été mis
en quarantaine depuis (pas le temps).
Symptômes :
- plus moyen de se connecter à internet
- plus de son
- pour Word, j'ai un message "impossible d'enregistrer ce document. Il sera impossible d'établir des liaisons à ce document à partir d'autres documents"
- plus moyen d'ouvrir un fichier jpeg
- plus de glisser/déplacer/coller à la souris (la copy marche encore dans une fenêtre de commande dos)
Config :
XP fam 2002 SP1
2,8 Go RAM
bi proc P4 3,2GHz
Avast
Et pour finir le log d'HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:42, on 06/08/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\wt\updater\wcmdmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\Dit.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\DitExp.exe
C:\Program Files\Speaking Clock\spclock.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Microsoft Office\Office\1036\msohelp.exe
C:\WINDOWS\SYSTEM32\cmd.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] C:\WINDOWS\SYSTEM32\rundll32.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Speaking Clock Lite] C:\Program Files\Speaking Clock\spclock.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User '?')
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\Run: [Speaking Clock Lite] C:\Program Files\Speaking Clock\spclock.exe (User '?')
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .pl: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
--
End of file - 7385 bytes
Message édité par 2old4this le 16-08-2008 à 14:01:08
Angel, je te présente ma famille !!!
J'espère que tu sauras nous aider 
Message édité par RedTux le 09-08-2008 à 03:47:03
Les règles du Forum - À lire absolument
Répondre à RedTux
Salut Red, 2old4this 
Angel est en vacances.
Je crois que je peux répondre à sa place. 
Rien de méchant dans ce log. (à première vue)
par contre deux antivirus, ça peut causer des conflits.
Il faudrait commencer par virer Norton:
voir ici: désinstaller -antivirus
puis:
Ouvre Spybot , clique sur l'onglet Mode et choisis Mode Avancé
Ne tiens pas compte de l'avertissement
En bas à gauche , clique sur Outils
Toujours dans la colonne de gauche , clique sur Résident ( pas dans la fenêtre centrale )
Et décoche l'option Resident "TeaTimer".......
~Lance Hijackthis “Do a system scan only”.
Coche les lignes qui suivent si encore présentes et uniquement celles-là.
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Clique sur Fix checked (en bas à gauche)
supprime le dossier en gras:
C:\Program Files\Fichiers communs\GMT
puis, on va voir s'il faut réparer la connexion:
télécharge et exécute cet outil pour réparer ta connexion:
WinSockFix
http://www.softpedia.com/get/Tweak [...] kFix.shtml
++++++++
vous avez un CD de XP à portée de main?
Pourquoi le pc n'est pas à jour?
IE6 est une passoire, le SP1, je n'en parle même pas...
Message édité par Sham_Rock le 08-08-2008 à 23:30:11
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Je m'en suis douté le voyant pas sur msn ^^
Merci Sham_Rock ! Je lui dirais de venir assez vite (a 2old4this) !
Au fait, d'après ce que j'ai compris du problème, ça a commencé avec une mise à jour de avast qui aurait reconnu un fichier système comme infecté !
Malheureusement, après, plein de conséquence !
Sinon, si le PC n'est pas à jour, c'est parce que la personne en charge du PC n'y prend pas soin 
C'est pour ça que je refus de le nettoyer ! 
Message édité par RedTux le 09-08-2008 à 03:48:12
Les règles du Forum - À lire absolument
Répondre à RedTux
'llo
| RedTux a écrit : Au fait, d'après ce que j'ai compris du problème, ça a commencé avec une mise à jour de avast qui aurait reconnu un fichier système comme infecté !
|
il est encore en quarantaine?
quel est le nom du fichier?
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour et merci de s'occuper de mon cas
le PC infecté est toujours hors Internet (ce que j'appelle quarantaine)
j'utilise un portable sous Ubuntu pour cela et je fais la navette avec une
clef USB (et des copies sous DOS), c'est un peu sport .
Le fichier disparu svchost.exe et remis en place dans system32
récupéré là : http://www.megaupload.com/fr/?d=W1YWXJTD
car d'après moi (et j'ai pu me trompé) les symptômes ressemblaient beaucoup à ceux décrits ici : http://forum.hardware.fr/hfr/Windo [...] 9043_1.htm
Mais je n'ai fait que remettre le svchost.exe, je n'ai pas exécuté le RepairServices.reg (je n'avais pas de sauvegarde des données à jour). Depuis j'ai sauvegardé sur un disque externe à partir d'un Live-CD d'Ubuntu.
En ce qui concerne Norton, je croyais l'avoir supprimé (non sans mal).
Je vais suivre le lien et voir ce que j'arrive à faire ...
A priori l'utilisateur (pour être plus précis utilisatrice) utilisait Mozilla Firefox et non IE6 (sauf peut-être depuis certains liens de Msn 
)
@+
Norton OUT !
Si ça peut aider, voici les dernières lignes de journalisation de Spybot :
30/04/2008 14:12:46 Refusé(e) (based on user decision) value "Search Bar" (new data: "http://www.google.com/ie" ) modifié(e) in Browser page!
27/05/2008 14:33:59 Autorisé(e) (based on user decision) value "{4F1E5B1A-2A80-42CA-8532-2D05CB959537}" (new data: "" ) ajouté(e) in ActiveX Distribution Unit!
05/06/2008 10:48:58 Autorisé(e) (based on user decision) value "BootExecute" (new data: "autocheck autochk *
aswBoot.exe /M:11dcbe3388aa
" ) modifié(e) in Session manager!
05/06/2008 15:47:51 Refusé(e) (based on user decision) value "BootExecute" (new data: "autocheck autochk *
" ) modifié(e) in Session manager!
06/06/2008 14:01:25 Autorisé(e) (based on user decision) value "BootExecute" (new data: "autocheck autochk *
" ) modifié(e) in Session manager!
06/06/2008 15:09:56 Autorisé(e) (based on user decision) value "NvMediaCenter" (new data: "C:\WINDOWS\SYSTEM32\rundll32.exe" ) modifié(e) in System Startup global entry!
06/06/2008 15:22:06 Autorisé(e) (based on user decision) value "CMESys" (new data: "" ) supprimé(e) in System Startup global entry!
06/06/2008 15:23:34 Refusé(e) (based on user decision) value "Dit" (new data: "" ) supprimé(e) in System Startup global entry!
06/06/2008 15:24:22 Autorisé(e) (based on user decision) value "RoxioAudioCentral" (new data: "" ) supprimé(e) in System Startup global entry!
06/06/2008 15:24:25 Autorisé(e) (based on user decision) value "RoxioDragToDisc" (new data: "" ) supprimé(e) in System Startup global entry!
06/06/2008 15:24:36 Autorisé(e) (based on user decision) value "SoundMan" (new data: "" ) supprimé(e) in System Startup global entry!
06/06/2008 15:24:53 Autorisé(e) (based on user decision) value "CursorXP" (new data: "" ) supprimé(e) in System Startup user entry!
06/08/2008 19:12:06 Autorisé(e) (based on user decision) value "{A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98}" (new data: "" ) supprimé(e) in ActiveX Distribution Unit!
06/08/2008 19:14:15 Autorisé(e) (based on user decision) value "{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}" (new data: "" ) supprimé(e) in Browser Helper Object!
09/08/2008 15:09:22 Autorisé(e) (based on user decision) value "Symantec PIF AlertEng" (new data: "" ) supprimé(e) in System Startup global entry!
--======================
ce qui situe l'incident vers le 5 ou 6 juin
et le nouveau log d'Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:27:23, on 09/08/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\wt\updater\wcmdmgr.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\Dit.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\DitExp.exe
C:\Program Files\Speaking Clock\spclock.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] C:\WINDOWS\SYSTEM32\rundll32.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Speaking Clock Lite] C:\Program Files\Speaking Clock\spclock.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [] C:\Program Files\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/s [...] 9.000000b9
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User '?')
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\Run: [Speaking Clock Lite] C:\Program Files\Speaking Clock\spclock.exe (User '?')
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\RunOnce: [] C:\Program Files\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/s [...] 9.000000b9 (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .pl: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
--
End of file - 6056 bytes
--======================
il me reste à traiter avec WinSockFix ...
@+
Euh ?! J'ai confiance mais Winsockfix je le lance et après à quoi dois-je m'attendre ?
@+
| 2old4this a écrit : Euh ?! J'ai confiance mais Winsockfix je le lance et après à quoi dois-je m'attendre ?
|
en général, il faut se tenir loin du pc (risque d'implosion)
plus sérieusement, c'est un outil pour réparer la connexion internet de façon automatique.
si tu préfères, il y a la solution manuelle:
répare ta connexion comme dans ce tuto:
Réparer manuellement la connexion Internet
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Je sais pas trop d'où viens le svchost.exe de MegaUpload ...
Mieux vaut récup celui du CD windows !
Il faut chercher "svchost.ex_" , le renommer et le remplacer ! (pour moins de problème, sous un LiveCD quelconque).
Ensuite, mettre le SP2 : http://www.infos-du-net.com/telech [...] 01-45.html
Puis le SP3 : http://www.zdnet.fr/telecharger/wi [...] 85s,00.htm
Tout mettre à jour quoi !
Et avast est pas top top ...
Télécharge AntiVir sur ton Bureau.
- Double clique sur l'exécutable téléchargé pour lancer l'installation.
- A la fin de l'installation, clique sur Finish.
- Ouvre Antivir, assure-toi qu%u2019il soit bien à jour !
- Dans l'onglet Local Protection, choisis Scanner.
- Active la recherche de rootkits via le + de rootkit search, puis dans manual selection, coche tout (tes partitions de disque dur).
- Clique sur la loupe du milieu pour lancer le scan en tant qu'Administrateur.
- Poste le rapport généré : Pour cela, clique sur l'onglet Overview, puis choisis Reports, tu trouveras son rapport..
Note : Pour une éradication des menaces plus efficace, lance le scan en mode sans échec.
Pourquoi changer ? Avast vs Antivir.
Aide : Comment installer et utiliser AntiVir.
Tiens, et j'ajoute un site que doit lire l'utilisatrice ... Sécuriser son ordinateur (version courte) !
Message édité par RedTux le 10-08-2008 à 00:37:27
Les règles du Forum - À lire absolument
Répondre à RedTux
Pfff ...
SP2 : Echec lors de l'extraction "Le fichier est endommagé"
Avast désinstallé (enfin je crois) par Ajout/Suppression de programme
D'après la page de téléchargement du SP3, je dois pouvoir l'essayer directement sans passer au préalable par le SP2.
à suivre
en général, on ne met jamais le système à jour avant d'être sûr qu'on a réglé l'infection. (risques de crash)
as-tu récupéré ta connexion?
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonsoir
eh non je n'ai pas fais la mise à jour :
- SP2 pas bon cf. mail précédent
- SP3 j'attendais car je ne sentais pas bien le grand saut de SP1 à SP3
et pour la connexion ... je n'ai pas essayé, le câble Ethernet est toujours débranché, surtout que maintenant j'ai viré Avast et pas encore installé Antivir
Dans quel ordre me conseilles-tu de procéder ?
Ne t'inquiète pas si je ne réponds pas tout de suite car je reprends le boulot demain et j'aurais moins de temps à consacrer à ce PC
@+
en général, on installe l'AV avant de se connecter au net, mais bon, c'st comme tu veux, tu es sur le forum, en cas de soucis, je t'aiderai à régler le problème.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
oups
Instal d'Antivir ... coupure violente à la fin de l'instal (je préfère quand ça demande un redémarrage) d'où un scan du disque avec qcq Ko récupérés (enfin c'est ce qu'il dit)
et Antivir n'a pas l'air d'être installé (rien dans le menu Programmes ni dans la barre des tâches ni process)
en revanche, il y a un répertoire Avira dans Program Files avec des choses dedans
Je sens que ça va finir par une réinstallation du système ...
Message édité par RedTux le 11-08-2008 à 11:29:32
Les règles du Forum - À lire absolument
Répondre à RedTux
Mouais, peut-être
Je préfèrerais l'avis de mon helpeur
parce que à part le copier/coller souris, Internet et son AV
ça à l'air de marché
à bientôt
bonsoir
on va passer un outil puissant histoire d'écarter toute question de virus ou autre niark.
Désactive ton antivirus et tout autre type de protection.
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport
\Combofix.txt
clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"
viens sur le forum et édition "coller"
ajoute un nouveau rapport Hijackthis.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonsoir
ComboFix a l'air d'avoir terminé son boulot, log sauvé sur ma clef
le PC n'a pas rebooté mais je n'ai plus rien sur le Bureau :
plus de barre des tâches
Je n'ai réussi qu'à avoir le Gestionnaire des tâches et il n'y a plus d'explore.exe !
re
il me faut le rapport pour que je vois ce qu'il a shooté.
tu es allé jusqu'à la fin du travail de l'outil?
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
ok clef sauvagement retirée et voici le rapport :
ComboFix 08-08-10.05 - AMHM 2008-08-11 22:59:38.1 - [color=red]FAT32[/color]x86
Endroit: C:\Documents and Settings\AMHM\Bureau\ComboFix.exe
[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\temp\unins000.dat
.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-11 to 2008-08-11 ))))))))))))))))))))))))))))))))))))
.
2008-08-11 00:03 . 2008-08-11 00:03 244 --ah----- C:\sqmnoopt17.sqm
2008-08-11 00:03 . 2008-08-11 00:03 244 --ah----- C:\sqmdata17.sqm
2008-08-10 23:02 . 2008-08-10 23:02 <REP> d--hs---- C:\FOUND.000
2008-08-10 22:59 . 2008-08-10 22:59 <REP> d-------- C:\Program Files\Avira
2008-08-10 22:59 . 2008-08-10 22:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-08-10 15:54 . 2008-08-10 15:54 244 --ah----- C:\sqmnoopt16.sqm
2008-08-10 15:54 . 2008-08-10 15:54 244 --ah----- C:\sqmdata16.sqm
2008-08-09 18:55 . 2008-08-09 18:55 244 --ah----- C:\sqmnoopt15.sqm
2008-08-09 18:55 . 2008-08-09 18:55 244 --ah----- C:\sqmdata15.sqm
2008-08-09 18:13 . 2008-08-09 18:13 244 --ah----- C:\sqmnoopt14.sqm
2008-08-09 18:13 . 2008-08-09 18:13 244 --ah----- C:\sqmdata14.sqm
2008-08-09 18:12 . 2008-08-09 18:12 <REP> d-------- C:\ERDNT
2008-08-09 15:09 . 2008-08-09 15:09 244 --ah----- C:\sqmnoopt13.sqm
2008-08-09 15:09 . 2008-08-09 15:09 244 --ah----- C:\sqmdata13.sqm
2008-08-09 05:41 . 2008-08-09 05:41 244 --ah----- C:\sqmnoopt12.sqm
2008-08-09 05:41 . 2008-08-09 05:41 244 --ah----- C:\sqmdata12.sqm
2008-08-08 20:03 . 2008-08-08 20:04 244 --ah----- C:\sqmnoopt11.sqm
2008-08-08 20:03 . 2008-08-08 20:04 244 --ah----- C:\sqmdata11.sqm
2008-08-08 19:18 . 2008-08-08 19:18 244 --ah----- C:\sqmnoopt10.sqm
2008-08-08 19:18 . 2008-08-08 19:18 244 --ah----- C:\sqmdata10.sqm
2008-08-08 17:44 . 2008-08-08 17:44 244 --ah----- C:\sqmnoopt09.sqm
2008-08-08 17:44 . 2008-08-08 17:44 244 --ah----- C:\sqmdata09.sqm
2008-08-08 17:34 . 2008-08-08 17:34 244 --ah----- C:\sqmnoopt08.sqm
2008-08-08 17:34 . 2008-08-08 17:34 244 --ah----- C:\sqmdata08.sqm
2008-08-08 17:10 . 2008-08-08 17:10 244 --ah----- C:\sqmnoopt07.sqm
2008-08-08 17:10 . 2008-08-08 17:10 244 --ah----- C:\sqmdata07.sqm
2008-08-08 16:55 . 2008-08-08 16:55 244 --ah----- C:\sqmnoopt06.sqm
2008-08-08 16:55 . 2008-08-08 16:55 244 --ah----- C:\sqmdata06.sqm
2008-08-07 20:01 . 2008-08-07 20:01 244 --ah----- C:\sqmnoopt05.sqm
2008-08-07 20:01 . 2008-08-07 20:01 244 --ah----- C:\sqmdata05.sqm
2008-08-07 19:46 . 2008-08-07 19:46 244 --ah----- C:\sqmnoopt04.sqm
2008-08-07 19:46 . 2008-08-07 19:46 244 --ah----- C:\sqmdata04.sqm
2008-08-07 18:17 . 2002-08-29 01:27 33,792 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\disk.sys
2008-08-06 19:56 . 2008-08-06 19:56 244 --ah----- C:\sqmnoopt03.sqm
2008-08-06 19:56 . 2008-08-06 19:56 244 --ah----- C:\sqmdata03.sqm
2008-08-06 19:23 . 2008-08-06 19:23 244 --ah----- C:\sqmnoopt02.sqm
2008-08-06 19:23 . 2008-08-06 19:23 244 --ah----- C:\sqmdata02.sqm
2008-08-06 19:21 . 2004-08-17 16:05 14,336 --a------ C:\WINDOWS\SYSTEM32\svchost.exe
2008-08-06 18:40 . 2008-08-06 18:40 <REP> d-------- C:\Program Files\Trend Micro
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2005-12-06 11:16 271 --sh--w C:\Program Files\desktop.ini
2005-12-06 11:16 23,506 ---h--w C:\Program Files\folder.htt
2000-11-28 17:34 122,880 ----a-r C:\WINDOWS\INF\AGFA\Message.exe
.
------- Sigcheck -------
2004-08-17 16:05 14336 5db0ae95bf08d5a63c167648f1314c07 C:\WINDOWS\SYSTEM32\svchost.exe
2002-08-30 12:00 561152 0abf2f5280940d32d1d52bd3500b0c37 C:\WINDOWS\SYSTEM32\user32.dll
2002-08-30 12:00 561152 0abf2f5280940d32d1d52bd3500b0c37 C:\WINDOWS\SYSTEM32\dllcache\user32.dll
2002-08-30 12:00 75264 20c6d9f9522dda0f9a8e4b8641ca9245 C:\WINDOWS\SYSTEM32\ws2_32.dll
2002-08-30 12:00 75264 20c6d9f9522dda0f9a8e4b8641ca9245 C:\WINDOWS\SYSTEM32\dllcache\ws2_32.dll
2002-08-30 12:00 603136 cbc50d46257c4a75644230507b488050 C:\WINDOWS\SYSTEM32\wininet.dll
2002-08-30 12:00 603136 cbc50d46257c4a75644230507b488050 C:\WINDOWS\SYSTEM32\dllcache\wininet.dll
2002-08-30 12:00 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\SYSTEM32\DRIVERS\tcpip.sys
2002-08-30 12:00 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\SYSTEM32\dllcache\tcpip.sys
2002-08-30 12:00 520704 71820bc9ee6653c8748922459dfc384d C:\WINDOWS\SYSTEM32\winlogon.exe
2002-08-30 12:00 520704 71820bc9ee6653c8748922459dfc384d C:\WINDOWS\SYSTEM32\dllcache\winlogon.exe
2002-08-30 12:00 167552 3b350e5a2a5e951453f3993275a4523a C:\WINDOWS\SYSTEM32\DRIVERS\ndis.sys
2002-08-30 12:00 167552 3b350e5a2a5e951453f3993275a4523a C:\WINDOWS\SYSTEM32\dllcache\ndis.sys
2002-08-30 12:00 1924096 67f3411a8ed7bbd2529e5a6124e544b2 C:\WINDOWS\SYSTEM32\ntkrnlpa.exe
2002-08-30 12:00 1895424 5a92a0984231db01d5c6c47068877cd2 C:\WINDOWS\SYSTEM32\ntoskrnl.exe
2002-08-30 12:00 1008128 82fe0d400cb1ac937234467b927b867a C:\WINDOWS\explorer.exe
2002-08-30 12:00 1008128 82fe0d400cb1ac937234467b927b867a C:\WINDOWS\SYSTEM32\dllcache\explorer.exe
2002-08-30 12:00 101888 fc0691097471ee374907e1024edcbd43 C:\WINDOWS\SYSTEM32\services.exe
2002-08-30 12:00 101888 fc0691097471ee374907e1024edcbd43 C:\WINDOWS\SYSTEM32\dllcache\services.exe
2002-08-30 12:00 11776 b7b1c150aff59455db4df082815f88f5 C:\WINDOWS\SYSTEM32\lsass.exe
2002-08-30 12:00 11776 b7b1c150aff59455db4df082815f88f5 C:\WINDOWS\SYSTEM32\dllcache\lsass.exe
2002-08-30 12:00 13312 2c856908ee61424238772508e9fbcbc8 C:\WINDOWS\SYSTEM32\ctfmon.exe
2002-08-30 12:00 13312 2c856908ee61424238772508e9fbcbc8 C:\WINDOWS\SYSTEM32\dllcache\ctfmon.exe
2002-08-30 12:00 51200 b1ce5287f096895d9be26eb86f4d5faf C:\WINDOWS\SYSTEM32\spoolsv.exe
2002-08-30 12:00 51200 b1ce5287f096895d9be26eb86f4d5faf C:\WINDOWS\SYSTEM32\dllcache\spoolsv.exe
2005-06-11 00:55 53248 6b4bf97957a0b8795811975d4bf1acfe C:\WINDOWS\SoftwareDistribution\Download\4088a68d0a8934555c37417459b6507e\sp1qfe\spoolsv.exe
2005-06-11 01:17 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\SoftwareDistribution\Download\4088a68d0a8934555c37417459b6507e\sp2qfe\spoolsv.exe
2005-06-11 00:53 57856 da81ec57acd4cdc3d4c51cf3d409af9f C:\WINDOWS\SoftwareDistribution\Download\4088a68d0a8934555c37417459b6507e\sp2gdr\spoolsv.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 12:55 5674352]
"Speaking Clock Lite"="C:\Program Files\Speaking Clock\spclock.exe" [2000-12-16 18:22 766976]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-20 15:08 1511453]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-07-01 09:50 28672]
"wcmdmgr"="C:\WINDOWS\wt\updater\wcmdmgrl.exe" [2002-09-27 14:47 20480]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-05-18 23:35 7606272]
"NvMediaCenter"="C:\WINDOWS\SYSTEM32\rundll32.exe" [2002-08-30 12:00 32256]
"RoxioEngineUtility"="C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe" [2003-05-01 18:44 65536]
"SpybotSnD"="C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" [2007-08-31 16:46 4943184]
"nwiz"="nwiz.exe" [2006-05-18 23:35 1519616 C:\WINDOWS\SYSTEM32\nwiz.exe]
"Dit"="Dit.exe" [2003-05-19 17:39 81920 C:\WINDOWS\Dit.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-30 12:00 13312]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.3ivx"= 3ivxVfWCodec.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"msacm.divxa32"= DivXa32.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"VIDC.VP31"= vp31vfw.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CursorXP"=C:\Program Files\CursorXP\CursorXP.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CMESys"="C:\Program Files\Fichiers communs\CMEII\CMESys.exe"
"RoxioAudioCentral"="C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
"RoxioDragToDisc"="C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
"SoundMan"=SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
R3 gsplittm;gsplittm;C:\DOCUME~1\AMHM\LOCALS~1\Temp\gsplittm.sys []
S0 avgntmgr;avgntmgr;C:\WINDOWS\SYSTEM32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
S1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-05-09 13:15]
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -
HKLM-Run-Ize - (no file)
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\AMHM\Application Data\Mozilla\Firefox\Profiles\8bvpjwfh.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-11 23:01:06
Windows 5.1.2600 Service Pack 1 FAT NTAPI
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-08-11 23:01:39
ComboFix-quarantined-files.txt 2008-08-11 21:01:32
Pre-Run: 43,878,875,136 octets libres
Post-Run: 44,082,626,560 octets libres
157
Il n'a rien supprimé...
toujours le même problème de bureau?
redémarre ton pc pour voir...
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
ta réponse est apparue en même temps que je reprenais la main pour dire que j'avais lancé explorer.exe depuis le Gestionnaire des tâches puis lancé HijackThis dont voici le log :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:45:16, on 11/08/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\UAService7.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\wt\updater\wcmdmgr.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Speaking Clock\spclock.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] C:\WINDOWS\SYSTEM32\rundll32.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Speaking Clock Lite] C:\Program Files\Speaking Clock\spclock.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [] C:\Program Files\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/s [...] 9.000000b9
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User '?')
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\Run: [Speaking Clock Lite] C:\Program Files\Speaking Clock\spclock.exe (User '?')
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\RunOnce: [] C:\Program Files\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/s [...] 9.000000b9 (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .pl: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
--
End of file - 5958 bytes
Hello
je serais de retour vers 19h
à ce soir
Je suis de retour ...
Donc, redémarrage du PC (toujours aussi lent mais pas grave pour l'instant) toujours non branché à Internet, et toujours les mêmes symptômes :
- pas de glisser/déplacer/coller à la souris
- ouverture d'un fichier Word : "Impossible d'enregistrer etc."
- démarrage d'Excel : "Impossible d'utiliser des objets liés etc." + erreur VBA
- démarrage de PowerPoint : "PowerPoint a détecté une erreur qu'il ne peut pas etc."
et pour résumer, on a déjà utilisé :
- HijackThis
- Winsockfix
- ComboFix
et l'instal d'Antivir ne s'est pas bien terminée (mais peut-être bonne ?)
Cela n'a peut-être aucun rapport mais je crois avoir compris d'où venait la lenteur du boot : il y a un fichier "C:\pagefile.sys" d'1,5Go qui se crée au boot ...
bonsoir
Nettoyer PAGEFILE.SYS:
http://www.laboratoire-microsoft.org/t/1794/
++++++++++
Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.
- ferme toutes les applications et fenêtres
- double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
- s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
- tu devras cliquer 2 fois sur le OK des boîtes de dialogue
Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
- quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
main.txt <- ouvert en premier plan et en plein écran
extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
S'il s'agit d'une utilisation supplémentaire de DSS :
- tu n'auras pas de boîte de dialogue (pas de OK)
- quand le traitement est terminé, un fichier texte s'affiche :
main.txt <- ouvert en premier plan et en plein écran
- copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
- copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
- n'oublie pas de réactiver les protections si elles ont été stoppées.
Ce que fait DSS :
- crée un point de restauration dans Windows XP et Vista
- nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs
- vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
PAGEFILE.SYS nettoyer
main.txt :
Deckard's System Scanner v20071014.68
Run by AMHM on 2008-08-12 22:24:36
Computer is in Normal Mode.
--------------------------------------------------------------------------------
-- System Restore --------------------------------------------------------------
Unable to create WMI object; Opération réussie.
Backed up registry hives.
Performed disk cleanup.
-- HijackThis (run as AMHM.exe) ------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:25:18, on 12/08/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\wt\updater\wcmdmgr.exe
C:\WINDOWS\Dit.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\DitExp.exe
C:\Program Files\Speaking Clock\spclock.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Documents and Settings\AMHM\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\AMHM.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] C:\WINDOWS\SYSTEM32\rundll32.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Speaking Clock Lite] C:\Program Files\Speaking Clock\spclock.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [] C:\Program Files\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/s [...] 9.000000b9
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User '?')
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\Run: [Speaking Clock Lite] C:\Program Files\Speaking Clock\spclock.exe (User '?')
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-21-527237240-1935655697-839522115-1004\..\RunOnce: [] C:\Program Files\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/s [...] 9.000000b9 (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .pl: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
--
End of file - 6023 bytes
-- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------
backup-20080806-190813-717 O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
backup-20080806-191157-947 O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
backup-20080806-191406-748 O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll (file missing)
backup-20080809-152343-108 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
backup-20080809-152343-711 O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
-- File Associations -----------------------------------------------------------
[COLOR=red].cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*[/COLOR]
-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------
0 agp440 (Filtre de bus AGP Intel) - system32\drivers\agp440.sys (file missing)
3 ALCXSENS (Service for WDM 3D Audio Driver) - c:\windows\system32\drivers\alcxsens.sys <Not Verified; Sensaura Ltd; >
3 catchme - c:\combofix\catchme.sys (file missing)
3 DCamUSBSQTECH (Dual-Mode DSC(2770)) - c:\windows\system32\drivers\sqcaptur.sys <Not Verified; Service & Quality Technology.; SQ913>
3 GMSIPCI - i:\install\gmsipci.sys (file missing)
3 gsplittm - c:\docume~1\amhm\locals~1\temp\gsplittm.sys (file missing)
3 HTTP - system32\drivers\http.sys (file missing)
1 intelppm (Pilote de processeur Intel) - system32\drivers\intelppm.sys (file missing)
3 ip6fw (Pilote du pare-feu Windows IPv6) - system32\drivers\ip6fw.sys (file missing)
-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------
2 AntiVirScheduler (Avira AntiVir Personal - Free Antivirus Scheduler) - c:\program files\avira\antivir personaledition classic\sched.exe
2 Planificateur LiveUpdate automatique - c:\program files\symantec\liveupdate\aluschedulersvc.exe (file missing)
2 UserAccess7 (SecuROM User Access Service (V7)) - c:\windows\system32\uaservice7.exe
-- Device Manager: Disabled ----------------------------------------------------
Unable to create WMI object.
-- Files created between 2008-07-12 and 2008-08-12 -----------------------------
2008-08-11 22:59:13 68096 --a------ C:\WINDOWS\zip.exe
2008-08-11 22:59:13 49152 --a------ C:\WINDOWS\VFind.exe
2008-08-11 22:59:13 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-08-11 22:59:13 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-08-11 22:59:13 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-08-11 22:59:13 98816 --a------ C:\WINDOWS\sed.exe
2008-08-11 22:59:13 80412 --a------ C:\WINDOWS\grep.exe
2008-08-11 22:59:13 89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-08-10 23:02:46 0 d--hs---- C:\FOUND.000
2008-08-10 22:59:54 0 d-------- C:\Program Files\Avira
2008-08-10 22:59:54 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-08-09 18:12:16 0 d-------- C:\ERDNT
2008-08-07 18:17:04 33792 --a------ C:\WINDOWS\System32\drivers\disk.sys <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
2008-08-06 19:21:13 14336 --a------ C:\WINDOWS\System32\svchost.exe <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
2008-08-06 18:40:05 0 d-------- C:\Program Files\Trend Micro
-- Find3M Report ---------------------------------------------------------------
Nothing modified in this timespan.
-- Registry Dump ---------------------------------------------------------------
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [01/07/2002 09:50]
"wcmdmgr"="C:\WINDOWS\wt\updater\wcmdmgrl.exe" [27/09/2002 14:47]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [18/05/2006 23:35]
"nwiz"="nwiz.exe" [18/05/2006 23:35 C:\WINDOWS\SYSTEM32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\SYSTEM32\rundll32.exe" [30/08/2002 12:00]
"RoxioEngineUtility"="C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe" [01/05/2003 18:44]
"SpybotSnD"="C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" [31/08/2007 16:46]
"Dit"="Dit.exe" [19/05/2003 17:39 C:\WINDOWS\Dit.exe]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [19/01/2007 12:55]
"Speaking Clock Lite"="C:\Program Files\Speaking Clock\spclock.exe" [16/12/2000 18:22]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [20/08/2002 15:08]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
@=C:\Program Files\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/s [...] 9.000000b9
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CursorXP"=C:\Program Files\CursorXP\CursorXP.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CMESys"="C:\Program Files\Fichiers communs\CMEII\CMESys.exe"
"RoxioAudioCentral"="C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
"RoxioDragToDisc"="C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
"SoundMan"=SOUNDMAN.EXE
-- End of Deckard's System Scanner: finished at 2008-08-12 22:25:42 ------------
-- ================================================
extra.txt :
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------
-- System Information ----------------------------------------------------------
Unable to create WMI object.
Architecture: X86; Language: French
Percentage of Memory in Use: 10%
Physical Memory (total/avail): 2875.48 MiB / 2572.42 MiB
Pagefile Memory (total/avail): 4258.13 MiB / 4127.18 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1968.71 MiB
C: is Fixed (FAT32) - 76.31 GiB total, 41.04 GiB free.
D: is Fixed (NTFS) - 57.27 GiB total, 49.63 GiB free.
I: is CDROM (No Media)
J: is CDROM (No Media)
-- Security Center -------------------------------------------------------------
AUOptions is disabled.
-- Environment Variables -------------------------------------------------------
ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\AMHM\Application Data
CLASSPATH="C:\WINDOWS\System32\QTJava.zip"
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=TARDIF1ER
ComSpec=C:\WINDOWS\system32\cmd.exe
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\AMHM
LOGONSERVER=\\TARDIF1ER
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Program Files\Fichiers communs\Roxio Shared\DLLShared;C:\WINDOWS;C:\WINDOWS\COMMAND
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 2 Stepping 9, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0209
ProgramFiles=C:\Program Files
PROMPT=$p$g
PS5ROOT=C:\Program Files\Roxio\Easy CD Creator 6\PhotoSuite\
QTJAVA="C:\WINDOWS\System32\QTJava.zip"
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\AMHM\LOCALS~1\Temp
TMP=C:\DOCUME~1\AMHM\LOCALS~1\Temp
USERDOMAIN=TARDIF1ER
USERNAME=AMHM
USERPROFILE=C:\Documents and Settings\AMHM
winbootdir=C:\WINDOWS
windir=C:\WINDOWS
-- User Profiles ---------------------------------------------------------------
AMHM [I](admin)[/I]
Administrateur [I](admin)[/I]
-- Add/Remove Programs ---------------------------------------------------------
--> C:\Program Files\DivX\ConverterUninstall.exe /CONVERTER
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
2FlyerSaver21 --> "C:\Program Files\2flyer\Screensaver21\unins000.exe"
ABBYY FineReader 8.0 Professional Edition --> MsiExec.exe /I{AAF80000-22B9-4CE9-98D6-2CCF359BAC07}
Adobe Flash Player 9 ActiveX --> C:\WINDOWS\System32\Macromed\Flash\UninstFl.exe -q
Adobe Flash Player ActiveX --> C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.2 - Français --> MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81200000003}
Agfa ScanWise 1.70 --> C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Agfa\ScanWise 1_70\uninst.isu" -c"C:\Program Files\Agfa\ScanWise 1_70\UNINSTALL.DLL"
AviSynth 2.5 --> "C:\Program Files\AviSynth 2.5\Uninstall.exe"
Blasterball tfr --> "C:\Program Files\TiscaliJeux\Blasterball 2\unins000.exe"
Correctif Windows XP - KB835732 --> C:\WINDOWS\$NtUninstallKB835732$\spuninst\spuninst.exe
CursorXP --> C:\Program Files\CursorXP\CurXPUtil.exe -u
DivX 4.11 Codec --> "C:\Program Files\DivXCodec\uninstall.exe"
DivX Codec --> C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Content Uploader --> C:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Converter --> C:\Program Files\DivX\ConverterUninstall.exe /CONVERTER
DivX Player --> C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player --> C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Doulber --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6D778B39-3C79-4E76-A929-3A49C82F7BF3}\SETUP.EXE" -l0x40c
Easy CD & DVD Creator 6 --> MsiExec.exe /I{644F9DBE-CEDB-45AF-ACB8-E26692B74F62}
FEAR --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2B653229-9854-4989-B780-D978F5F13EAB}\setup.exe" -l0x40c -removeonly
Free - Kit de connexion --> RunDll32 advpack.dll,LaunchINFSection C:\Program Files\Free.fr\KitFree.inf, Uninstall.NT
GJBreakdownDemo --> C:\Program Files\GJGames\GJBreakdownDemo\Uninstal.exe
GJFunballDemo --> C:\Program Files\GJ Games\GJFunballDemo\Uninstal.exe
GJPowerballDemo --> C:\Program Files\GJ Games\GJPowerballDemo\Uninstal.exe
Google Earth --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}\setup.exe" -l0x40c -removeonly
Google Toolbar for Internet Explorer --> MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer --> regsvr32 /u /s "c:\program files\google\googletoolbar2.dll"
HijackThis 2.0.2 --> "C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Internet Explorer Q824145 --> C:\WINDOWS\ieuninst.exe C:\WINDOWS\INF\Q824145.inf
InterVideo WinDVD 4 --> "C:\Program Files\InstallShield Installation Information\{98E8A2EF-4EAE-43B8-A172-74842B764777}\setup.exe" REMOVEALL
IrfanView (remove only) --> C:\Program Files\IrfanView\iv_uninstall.exe
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
K-Lite Codec Pack 2.27 Full --> "C:\Program Files\K-Lite Codec Pack\unins000.exe"
Lode Runner Online --> C:\WINDOWS\System32\UNINSLR.EXE
Logitech MouseWare 9.70 --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5809E7CF-4DCF-11D4-9875-00105ACE7734}\setup.exe" -l0x40c -l040c UNINSTALL
Media Player Classic fr --> "C:\Program Files\Media Player Classic\uninstall.exe"
Micro Application - Vos Photos à la Télé sur CD-DVD 2006 Edition Deluxe --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D119E8A9-6EB1-41B6-AE97-8738872B66DF}\setup.exe" -l0x40c
Microsoft Office 2000 CD-ROM 2 --> MsiExec.exe /I{0004040C-78E1-11D2-B60F-006097C998E7}
Microsoft Office 2000 Professional --> MsiExec.exe /I{0001040C-78E1-11D2-B60F-006097C998E7}
Microsoft Plus! pour Windows XP --> MsiExec.exe /I{EEC2DAFD-5558-40AC-8E9C-5005C8F810E8}
Mozilla Firefox (2.0.0.14) --> C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Multi-Card Reader & Flash Disk --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EA1CB7AC-E221-4822-A789-0ADB051DC498}\Setup.exe" -l0x9 -wUninst
MUSICMATCH Jukebox --> C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\Uninst.isu" -cC:\PROGRA~1\MUSICM~1\MUSICM~1\unmatch.dll
Neodivx 9.2 Crystal Fusion --> c:\Neodivx\unins000.exe
NVIDIA Drivers --> C:\WINDOWS\System32\nvudisp.exe UninstallGUI
OpenOffice.org 2.1 --> MsiExec.exe /I{E5430A11-6799-41E0-A9D5-F68BDC67AAD8}
Outil de mise à jour Google --> "C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
Painkiller --> C:\WINDOWS\unvise32.exe C:\Program Files\DreamCatcher\Painkiller\uninstal.log
Painkiller - Battle Out Of Hell --> C:\WINDOWS\unvise32.exe c:\program files\dreamcatcher\painkiller\uninstal.log
PDFCreator --> C:\Program Files\PDFCreator\unins000.exe
Pornoid --> C:\WINDOWS\ST5UNST.EXE -n "C:\Program Files\Pornoid\ST5UNST.LOG"
Quake 4(TM) --> C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{152B782A-05F3-48EC-9AAC-4D3EB68D9E20} /l1036
Readiris --> C:\WINDOWS\ISUN040C.EXE -f"c:\program files\Readiris\Uninst.isu" -c"c:\program files\Readiris\delcache.dll"
Rippack v3 beta 15.5 --> C:\Program Files\Rippackv3\Uninstall.exe "C:\Program Files\Rippackv3\install.log"
Roxio WinOnCD 5.03 Power Edition --> MsiExec.exe /I{DC88820C-64CB-40E9-AA77-E2ECC34368B3}
Serious Sam : Second Contact --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5BDAA2F7-8E48-4AFF-AA92-B559D0CDF1AD}\Setup.exe" -l0x40c
Serious Sam Patch Français --> MsiExec.exe /I{2A8B6F42-47F9-4568-949C-382734BD240C}
Serious Sam: The First Encounter --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{815050E5-F545-11D4-9569-004095812ACC}\Setup.exe"
Spybot - Search & Destroy --> "C:\Program Files\Spybot - Search & Destroy\unins000.exe"
TimeShift Demo --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BFD57EF3-5C28-4C6E-8450-519E98860CD6}\Setup.exe" -l0x40c
Viewpoint Media Player (Remove Only) --> C:\Program Files\Viewpoint\Viewpoint Media Player\mtsAxInstaller.exe /u
Webshots! --> C:\WINDOWS\WebshotsUninstall.exe
WildTangent Multiplayer Library --> C:\WINDOWS\wt\updater\wcmdmgr.exe -uninstall wtdmmp
WildTangent Updater --> C:\WINDOWS\wt\updater\wcmdmgr.exe -uninstall wcmdmgr.exe
WildTangent Web Driver --> C:\WINDOWS\wt\updater\wcmdmgr.exe -uninstall wtwebdriver
Windows Live Messenger --> MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
XviD codec (Neodivx Version) --> c:\temp\unins000.exe
-- Application Event Log -------------------------------------------------------
Event Record #/Type18018 / Error
Event Submitted/Written: 08/12/2008 07:18:06 PM
Event ID/Source: 4609 / EventSystem
Event Description:
Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est 800706BA à partir de la ligne 44 de d:\nt\com\com1x\src\events\tier1\eventsystemobj.cpp. Contactez les services du Support Technique Microsoft pour signaler cette erreur.
Event Record #/Type18016 / Error
Event Submitted/Written: 08/12/2008 07:16:58 PM
Event ID/Source: 4112 / Avira AntiVir
Event Description:
An error occurred during a resource request to the Windows NT system.
The resource <INIT11> has not been allocated.
This could be due to an out-of-memory error or any other system failure.
Returned error code: 2
Event Record #/Type18014 / Error
Event Submitted/Written: 08/11/2008 08:01:09 PM
Event ID/Source: 4609 / EventSystem
Event Description:
Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est 800706BA à partir de la ligne 44 de d:\nt\com\com1x\src\events\tier1\eventsystemobj.cpp. Contactez les services du Support Technique Microsoft pour signaler cette erreur.
Event Record #/Type18012 / Error
Event Submitted/Written: 08/11/2008 08:00:01 PM
Event ID/Source: 4112 / Avira AntiVir
Event Description:
An error occurred during a resource request to the Windows NT system.
The resource <INIT11> has not been allocated.
This could be due to an out-of-memory error or any other system failure.
Returned error code: 2
Event Record #/Type18010 / Error
Event Submitted/Written: 08/10/2008 11:05:24 PM
Event ID/Source: 4609 / EventSystem
Event Description:
Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est 800706BA à partir de la ligne 44 de d:\nt\com\com1x\src\events\tier1\eventsystemobj.cpp. Contactez les services du Support Technique Microsoft pour signaler cette erreur.
-- Security Event Log ----------------------------------------------------------
No Errors/Warnings found.
-- System Event Log ------------------------------------------------------------
Event Record #/Type4171 / Warning
Event Submitted/Written: 08/12/2008 07:16:58 PM
Event ID/Source: 263 / PlugPlayManager
Event Description:
Le service "AntiVirScheduler" n'a peut-être pas annulé son inscription au service de notifications d'événement de périphériques avant d'être arrêté.
Event Record #/Type4158 / Warning
Event Submitted/Written: 08/11/2008 08:00:01 PM
Event ID/Source: 263 / PlugPlayManager
Event Description:
Le service "AntiVirScheduler" n'a peut-être pas annulé son inscription au service de notifications d'événement de périphériques avant d'être arrêté.
Event Record #/Type4153 / Warning
Event Submitted/Written: 08/10/2008 11:03:32 PM
Event ID/Source: 263 / PlugPlayManager
Event Description:
Le service "AntiVirScheduler" n'a peut-être pas annulé son inscription au service de notifications d'événement de périphériques avant d'être arrêté.
-- End of Deckard's System Scanner: finished at 2008-08-12 22:25:42 ------------
re
on avance...
Télécharge DAFT :
- Sauvegarde-le sur ton bureau.
- Double-clique sur l'icône de DAFT, présente sur ton bureau.
- Clique sur le bouton scan.
- Sélectionne tout ce qui apparaît.
- Clique sur le bouton fix.
- Ensuite relance DAFT et re-scan avec, Si un message du type "All associations are OK" apparaît c'est que tout est OK,
- Ferme DAFT.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
"All associations okay!" au premier run
au suivant
vire ta version d'antivir:
http://www.avira.com/en/support/av7_upgrade_tools.html
et réinstalle.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Avira AntiVir RegistryCleaner
et
Uninstallation package for Windows NT, 2000 and XP ?
oui
commence par le package
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
ça c'est fait
et un Antivir qui ne plante pas tout à la fin ça se trouve où ?
ou un autre produit, je n'ai pas d'apriori
enfin fait, ce n'est pas sûr, le répertoire C:\Program Files\Avira est toujours là et il est plein ...
la nuit porte conseil
à demain soir
re
tu as essayé de désinstaller/réinstaller?
ça plante aussi quand tu réinstalles?
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonsoir
est-ce que mon D° House est là ?
Alors, une 2nde installation d'Antivir a été jusqu'au bout sans planter.
J'ai rebranché mon câble Ethernet.
Au reboot, Antivir a bien démarré, mais n'a pas réussi son Update
car la connexion ne marche pas
Que penses-tu d'exécuter le RepairServices.reg que j'avais récupéré ?
Ouvre "RepairServices.reg" avec le bloc note ... Et met le ici !
Les règles du Forum - À lire absolument
Répondre à RedTux
Voilà :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\Select]
"Current"=dword:00000001
"Default"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Alerter]
"Start"=dword:00000004
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
00,65,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AppMgmt]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AudioSrv]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS]
"Start"=dword:00000003
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Browser]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CryptSvc]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DcomLaunch]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,20,00,2d,00,6b,00,20,00,44,00,63,00,\
6f,00,6d,00,4c,00,61,00,75,00,6e,00,63,00,68,00,00,00
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dmserver]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dnscache]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,53,00,65,00,72,00,76,\
00,69,00,63,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\EventSystem]
"Start"=dword:00000003
"ImagePath"=hex(2):43,00,3a,00,5c,00,77,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,\
00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,\
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FastUserSwitchingCompatibility]
"Start"=dword:00000003
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HidServ]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HTTPFilter]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,48,00,54,00,54,00,50,00,46,00,69,00,6c,00,74,00,65,00,72,00,00,\
00
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\LanmanServer]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\LanmanWorkstation]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Messenger]
"Start"=dword:00000004
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netman]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Nla]
"Start"=dword:00000003
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NtmsSvc]
"Start"=dword:00000003
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RasAuto]
"Start"=dword:00000003
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RasMan]
"Start"=dword:00000003
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RemoteAccess]
"Start"=dword:00000004
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RemoteRegistry]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
00,65,00,00,00
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcSs]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,20,00,2d,00,6b,00,20,00,72,00,70,00,\
63,00,73,00,73,00,00,00
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\seclogon]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SENS]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ShellHWDetection]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srservice]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SSDPSRV]
"Start"=dword:00000003
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
00,65,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\stisvc]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,69,00,6d,00,67,00,73,00,76,00,63,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TapiSrv]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TermService]
"Start"=dword:00000003
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,20,00,2d,00,6b,00,20,00,44,00,43,00,\
6f,00,6d,00,4c,00,61,00,75,00,6e,00,63,00,68,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Themes]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TrkWks]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\upnphost]
"Start"=dword:00000003
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
00,65,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W32Time]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WebClient]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
00,65,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmPmSN]
"Start"=dword:00000003
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wmi]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc]
"Start"=dword:00000004
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv]
"Start"=dword:00000004
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WZCSVC]
"Start"=dword:00000002
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xmlprov]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000003
J'ai le rapport du scan d'AntiVir si ça interresse ...
'soir
je suis là...
je cherche pour toi.
oui, tu peux me poster le rapport (s'il y a des choses intéressantes dedans)
as-tu oui ou non un cd de windows?
On peut t'en prêter un?
Message édité par Sham_Rock le 14-08-2008 à 00:13:49
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
D'après ce que je comprends, un fichier vérolé sur le 2nd disque
Avira AntiVir Personal
Report file date: mercredi 13 août 2008 23:09
Scanning for 1369550 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 1) [5.1.2600]
Boot mode: Normally booted
Username: AMHM
Computer name: TARDIF1ER
Version information:
BUILD.DAT : 8.1.0.326 16933 Bytes 11/07/2008 12:57:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 08:57:54
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 07:56:42
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:20
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 07:58:54
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 13:54:16
ANTIVIR2.VDF : 7.0.5.20 142336 Bytes 30/06/2008 05:20:54
ANTIVIR3.VDF : 7.0.5.23 17408 Bytes 30/06/2008 09:24:48
Engineversion : 8.1.1.6
AEVDF.DLL : 8.1.0.5 102772 Bytes 09/07/2008 08:46:52
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 08/07/2008 06:33:30
AESCN.DLL : 8.1.0.22 119157 Bytes 09/07/2008 08:46:52
AERDL.DLL : 8.1.0.20 418165 Bytes 09/07/2008 08:46:52
AEPACK.DLL : 8.1.1.6 364918 Bytes 09/07/2008 08:46:52
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 09/07/2008 08:46:52
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 08/07/2008 06:33:30
AEHELP.DLL : 8.1.0.15 115063 Bytes 09/07/2008 08:46:52
AEGEN.DLL : 8.1.0.29 307573 Bytes 09/07/2008 08:46:52
AEEMU.DLL : 8.1.0.6 430451 Bytes 09/07/2008 08:46:52
AECORE.DLL : 8.1.1.3 172404 Bytes 09/07/2008 08:46:52
AEBB.DLL : 8.1.0.1 53617 Bytes 24/04/2008 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:06
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:28:02
AVREP.DLL : 7.0.0.1 155688 Bytes 30/06/2008 14:35:22
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:42
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:24
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:50
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:04
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:42
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:12
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 13:48:08
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 13:34:38
Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, I:, J:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: mercredi 13 août 2008 23:09
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'CMD.EXE' - '1' Module(s) have been scanned
Scan process 'GoogleUpdater.exe' - '1' Module(s) have been scanned
Scan process 'WinCinemaMgr.exe' - '1' Module(s) have been scanned
Scan process 'spclock.exe' - '1' Module(s) have been scanned
Scan process 'MSNMSGR.EXE' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'DitExp.exe' - '1' Module(s) have been scanned
Scan process 'Dit.exe' - '1' Module(s) have been scanned
Scan process 'RUNDLL32.EXE' - '1' Module(s) have been scanned
Scan process 'WCMDMGR.EXE' - '1' Module(s) have been scanned
Scan process 'EM_EXEC.EXE' - '1' Module(s) have been scanned
Scan process 'EXPLORER.EXE' - '1' Module(s) have been scanned
Scan process 'UAService7.exe' - '1' Module(s) have been scanned
Scan process 'NVSVC32.EXE' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'LSASS.EXE' - '1' Module(s) have been scanned
Scan process 'SERVICES.EXE' - '1' Module(s) have been scanned
Scan process 'WINLOGON.EXE' - '1' Module(s) have been scanned
Scan process 'CSRSS.EXE' - '1' Module(s) have been scanned
Scan process 'SMSS.EXE' - '1' Module(s) have been scanned
23 processes with 23 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!
Starting to scan the registry.
The registry was scanned ( '53' files ).
Starting the file scan:
Begin scan in 'C:\' <MAISON 3103>
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <STOCKAGE>
D:\009 UTILITAIRES\RIPPACK\Rippackv3beta161.exe
[0] Archive type: CAB SFX (self extracting)
--> data\divx5\0\DivXPro502GAINBundle.exe
[DETECTION] Contains recognition pattern of the DR/Gator.3202.14 dropper
[NOTE] The file was deleted!
Begin scan in 'I:\'
Search path I:\ could not be opened!
System error [21]: Le périphérique n'est pas prêt.
Begin scan in 'J:\'
Search path J:\ could not be opened!
System error [21]: Le périphérique n'est pas prêt.
End of the scan: mercredi 13 août 2008 23:40
Used time: 30:44 Minute(s)
The scan has been done completely.
5423 Scanning directories
328412 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
1 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
328410 Files not concerned
3528 Archives were scanned
1 Warnings
1 Notes
c'est bon, j'ai remis la main sur ce que je cherchais
donc:
tu as raison, c'est bien un Faux positif d'Avast.
Comme ça date de 2 mois, j'avais zappé.
http://forum.zebulon.fr/faux-posit [...] 45797.html
la procédure de réparation made in Avast:
http://support.avast.com/index.php [...] icleid=307
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
La réparation made in Avast a marché du tonnerre
je n'ai pas essayé avec les fichiers que j'avais récupéré sur MegaUpload
Tout a l'air de fonctionner :
- démarrage moins lent
- copier/coller/déplacer souris
- Office
- AntiVir à fait son update
- Spybot aussi
Dernière question : faut-il remettre le TeaTimer resident dans Spybot ?
quoiqu'il en soit BRAVO et MERCI
cool
vi remets le teatimer
par contre, il faut maintenant penser à mettre à jour windows.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
ok
AdBlock Plus et NoScript installé sur Mozilla Firefox
Je tenterais les passages en SP2 puis SP3 ce soir à partir des liens de RedTux.
que me conseilles-tu comme FireWall ?
ZoneAlarme ? Windows ? autre ?
Pour firefox, ajoute : https://addons.mozilla.org/en-US/firefox/addon/3840
Il ajoute en bas de fx une zone qui prévient du Phishing ... (fausse
URL, redirection, etc...)
Pour le firewall :
http://www.agnitum.com/products/outpostfree/index.php Outpost est le
meilleur ...
Mais http://www.zonealarm.com/store/con [...] rewall.jsp
ZoneAlarm est plus simple !
Fait les mises à jour Windows jusqu'au SP3 ... C'est hyper important !
Le plus simple, Internet Explorer / ? / Microsof Update
Ou simplement l'outil de mise à jour automatique correctement configuré !
Les règles du Forum - À lire absolument
Répondre à RedTux
re
oui, d'après ce que j'ai compris, le pc n'est pas entretenu, donc Mise à jours auto de windows,
zone alarm comme pare feu (le plus simple d'utilisation)
pour noscript, il faudra expliquer à la personne qui a le pc comment ça marche. notamment pour désactiver quand tu es sur un site que tu fréquentes habituellement.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Le passage à SP2 s'est bien passé, je continue les mises à jour.
Si de nouveaux problèmes arrivent, cela fera l'objet d'un nouveau sujet sur le forum.
Merci pour le coup de main.
de rien ;O)
Supprime tous les programmes installés pour la désinfection.
Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.
Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.
Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.
~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Il y a 1306 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
