Forum Clubic

Detournement des appels a explorer.exe et iexplore.exe

Bonjour,
Suite a des virus detectés par avg7 j’ai un problème de demarrage
de windows XP.

LE demarrage se passe normalement, je me connecte sous mon compte
utilisateur, chargement des paramètre puis le chargement du bureau
s’arrete a l’image de fond, et j’ai la main sur la souri. Pas d’icones,
pas de barre des taches, rien d’autre que l’image de fond et pas de
message d’erreur.

Je peux malgrè tout lancer les applications par le gestionnaire des
taches en utilisant la commande Nouvelle tâche (executer) du menu
fichier, puis en faisant parcourir pour aller chercher l’executable de l’application voulue. Sauf explorer.exe et iexplore.exe qui aboutissent direct au message d’erreur suivant :

“Windows ne trouve pas c:\windows\explorer.exe. Vérifiez que vous avez
entré le nom correctement et essayez à nouveau. Pour rechercher un fichier, cliquez sur etc etc”

Etrange puisque les fichiers explorer.exe et iexplore.exe sont bien presents sur le disque et que je vais les cherches par parcourir.

J’ai tout essayé, reinstalle par winnt32/unattend, sfc /scannow, extraction de certains fichiers par expand a partir du cd (shell32, rundll, taskmgr, iexplore et explorer), mode sans echec ui n’abouti pas non plus, pas de point de restauration dispo ça va de soit, msconfig, menage par regedit dans les clés run,…

Je ne sais plus quoi faire et j’aimerai eviter la reinstalle complète avec formatage.

Information importante et qui me fait penser que c’est un virus :
Si je fais une copie de iexplore.exe et que je la renomme sous un nom different, en lançant ce nouveau fichier manuellement par fichier, Nouvelle tache du gestionnaire de taches, il s’execute normalement!!

J’ai donc l’impression qu’un virus detourne les appels à ces deux programmes en se basant sur leur nom. Mais avg ne voit rien, secuser en ligne non plus.

Quelqu’un a t’il une idée qui pourrait m’aider?

Par avance merci a vous tous.

Salut,

peux-tu vérifier:

Avec Regedit.exe :
aller à la clé: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Vérifier à droite le contenu de la valeur Shell
Elle doit contenir: explorer.exe

Vérifier aussi ces fichiers où les virus cachent parfois un démarrage:

***** le fichier C:\windows\win.ini :
-> voir si on a une clé ’ load ’ et/ou une clé ’ run’ dans une section [windows]
exemple:
[windows]
load = fichier_suspect.exe
run = fichier_suspect.exe

***** le fichier C:\windows\system.ini :
-> voir si on a une section [boot] et/ou une section [386enh] :
exemple:
[boot]
Shell = Explorer.exe fichier_douteux.exe

[386Enh]
device = virus.vxd

Bonjour, merci pour ton aide,
Pour ce qui est de la clé shell j’avais verifié elle contenait bien explorer.exe, je l’avais d’ailleurs changé avec le nom de la copie que j’ai fais d’explorer.exe pour
pouvoir lancer le bureau windows, ça fonctionne mais c’est du provisoire, ça me plait pas trop.
Sinon pour les fichiers ini jai verifié et rien de tout ça helas. J’ai fait un hijackthis si jamais quelqu’un y voit quelque chose de douteux :

Logfile of HijackThis v1.99.1
Scan saved at 17:53:15, on 04/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Exploker.exe
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\EasyPHP\easyphp.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Nikon\NkView4\NkVwMon.exe
C:\Program Files\Outlook Express\msimn.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Program Files\Internet Explorer\IEXPLu.EXE
C:\Program Files\Internet Explorer\IEXPLu.EXE
C:\Documents and Settings\Guillaume\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
F2 - REG:system.ini: Shell=Exploker.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINDOWS\sehlp.dll (file missing)
O2 - BHO: C:\WINDOWS\lbbho.dll - {7F4198F1-B5DC-415D-A55C-A8D70C64E7A5} - C:\WINDOWS\lbbho.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Program Files\Go!Zilla\GoIEHlp.dll (file missing)
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM…\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM…\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM…\Run: [PCTVOICE] pctspk.exe
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [IMJPMIG8.1] “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32
O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM…\Run: [EasyPhp] C:\Program Files\EasyPHP\easyphp.exe
O4 - HKLM…\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU…\Run: [MoneyAgent] “C:\Program Files\Microsoft Money\System\mnyexpr.exe”
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: bourse.txt.lnk = C:\Documents and Settings\Guillaume\Bureau\bourse.txt
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: NkVwMon.exe.lnk = C:\Program Files\Nikon\NkView4\NkVwMon.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra ‘Tools’ menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\Program Files\Allocam Multi Visio\allocam.exe
O9 - Extra ‘Tools’ menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\Program Files\Allocam Multi Visio\allocam.exe
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra ‘Tools’ menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: Interface Chat Wanadoo - http://chat14.x-echo.com/version6/Applet/wchatsign.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.edipole.fr/kits/WebInstall.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip…{A4C43CAB-403F-49C0-8973-DB4A8E42E2A6}: NameServer = 212.27.32.176 212.27.39.1
O23 - Service: Apache - Unknown owner - C:\PROGRA~1\EasyPHP\Apache\apache.exe" --ntservice (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: MySql - Unknown owner - c:\progra~1\easyphp\mysql\bin\mysqld-nt.exe

Encore merci et bonne soirée

Une petite précision j’ai oubliée, sur le log d’hijackthis,

Dans les running processes,
C:\WINDOWS\Exploker.exe est normal c’est la copie que j’ai fait du fichier explorer.exe pour que le bureau apparaisse. J’ai modifiée la clé shell de hklm\\winlogon avec ce nom de fichier pour qu’il me charge le bureau au demarrage. pas top mais en depannage ça fonctionne.

Idem pour IEXPlu.Exe, c’est la copie d’iexplore.exe que j’utilise pour venir ici :slight_smile:

ok
tu as pas mal bossé et bien dégrossi le pb

j’ai passé le log de HJT à ce robot évaluateur:
http://hijackthis.de/index.php?langselect=french

il a trouvé des ‘inconnus’ -> c’est normal vu le renommage de certains fichiers
mais il a trouvé aussi , en O2, un BHO “méchant” -> je pense que c’est la MSN Toolbar ( donc pas dangereuse - je ne vois pas en quoi elle est “méchante” , surtout que dans la colonne ‘Description’, on peut lire:
9394EDE7-C8B5-483E-8773-474BF36AF6E4) a été identifié comme étant non dangereux. Taux de précision: 99 %

En O8 : un CoperNic Agent -> à fixer, sauf si tu l’as installé - il apparaitrait dans un menu contextuel.

En O16 :
il a trouvé un control ActiveX qu’il qualifie de “méchant” mais il est “sûr” -> ça a l’air d’être un ActiveX d ’ anti-virus en ligne
mais le 016 de WebInstall.dll -> pas confiance du tout -> a FIXER

donc, passe ton .log à l’évaluateur et regarde le résultat .

ps :

dans le .log de HJT, on trouve une ligne:
F2 - REG:system.ini: Shell=Exploker.exe
C’est toi qui l’avais mise ? je sais que exploker.exe est une copie de Explorer, mais comment est-elle venue dans le fichier system.ini ?
peut-être que c’est XP qui remplit cette ligne automatiquement , mais je n’en sais rien du tout.

Re
Pour l’inscription shell de system.ini concernant exploker.exe je suppose que c’est XP qui a du la mettre oui car ce n’est pas moi.
Sinon j’ai donc fait le menage comme tu me l’as conseillé.

Quelques nouveautés que je n’avais pas remarqué, depuis hier que j’ai ce problème les resultats de scan d’avg montrent que les fichiers user32.dll, shell32.dll et ntoskrnl.exe ont été changés, et avg les rechange semble t’il. Mais a chaque nouveau scan c’est remodifié, un virus j’imagine. Cela dit avg ne detecte pas ce la comme des virus.

Egalement, tout a l’heure, au bout d’environ une demi heure maxi après demarrage de la machine, je ne pouvais plus rien faire et j’ai trouvé dans le gestionnaire des tâches un svchost.exe à 95% d’utilisation d’uc, que j’ai killé et c’est donc reparti normal. Malheureusement comment savoir quel saloperie lance ce svchost?

Voila donc, la nouvelle copie du log d’hijackthis si besoin :

Logfile of HijackThis v1.99.1
Scan saved at 19:02:52, on 04/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Exploker.exe
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\EasyPHP\easyphp.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Nikon\NkView4\NkVwMon.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\IEXPLu.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Guillaume\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Exploker.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: C:\WINDOWS\lbbho.dll - {7F4198F1-B5DC-415D-A55C-A8D70C64E7A5} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM…\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM…\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM…\Run: [PCTVOICE] pctspk.exe
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [IMJPMIG8.1] “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32
O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM…\Run: [EasyPhp] C:\Program Files\EasyPHP\easyphp.exe
O4 - HKLM…\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU…\Run: [MoneyAgent] “C:\Program Files\Microsoft Money\System\mnyexpr.exe”
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: bourse.txt.lnk = C:\Documents and Settings\Guillaume\Bureau\bourse.txt
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: NkVwMon.exe.lnk = C:\Program Files\Nikon\NkView4\NkVwMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\Program Files\Allocam Multi Visio\allocam.exe
O9 - Extra ‘Tools’ menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\Program Files\Allocam Multi Visio\allocam.exe
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra ‘Tools’ menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: Interface Chat Wanadoo - http://chat14.x-echo.com/version6/Applet/wchatsign.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip…{A4C43CAB-403F-49C0-8973-DB4A8E42E2A6}: NameServer = 212.27.32.176 212.27.39.1
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: MySql - Unknown owner - c:\progra~1\easyphp\mysql\bin\mysqld-nt.exe

Encore merci à toi, quelle galère :slight_smile:

de rien
Bon, tu repasse le log à l’ évaluateur et tu verras:
en O2 : lbbho.dll -> il ne connait pas (il le met “inconnu”. J’ai cherché sur le Web et c’est un spyware !

O2 - BHO: C:\WINDOWS\lbbho.dll - {7F4198F1-B5DC-415D-A55C-A8D70C64E7A5} - C:\WINDOWS\lbbho.dll

lbbho est un spyware adware -> à supprimer
coche-le , FIXE le et dis-nous le résultat

C’est fait j’ai fixé la dll, redemarré, verifié, plus la.
Mais c’est toujours pareil je désespère.
Bizarrement, à part tout a l’heure avec ce svchost qui squattait, la machine marche très bien, sauf que l’accès a explorer.Exe et iexplore.Exe est toujours impossible. Je me demande ce qui peut bien detourner les appels ces deux fichiers.

je ne comprends plus :kaola:

on répare et c’est pareil, sauf que ce qu’on a réparé n’est probablement pas la vraie cause de ton probleme.

As-tu révérifié les clé Run du registre, la clé winlogon ?

Peux-tu voir dans Msconfig (onglet Démarrage) si des lancements sont douteux?

démarrer - executer > msconfig

Alors, dans msnconfig ou j’avais deja fais le menage, des clés que j’avais enlevées hier et qui n’etaient pas la avant d’ailleurs il me semble a bien y reflechir, se seont remisent, les voici :

dxdllreg c:\windows\registeredPackages{…}\dxdllreg.exe

IMEKRMIG c:\windows\ime\imkr6_1\IMEKRMIG.EXE

ImScInst c:\windows\system32\IME\PINTLGNT\ImScInst.exe /SYNC

P2P Networking c:\windows\system32\P2P Networking\P2P Networking.Exe /AUTOSTART

TINTSETP c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

TINTSETP c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

mstinit mstinit.exe /firstlogon

rundll32 srclient rundll32 srclient.dll,CreateFirstRunRp

wupdater c:\Program Files\Common files\updater\wupdater.exe

En resumé beaucoup de choses qui ne m’inspirent pas du tout mais que j’avais enlevées, mais les revoila… bizarrement elles apparaissent cochés dans msconfig mais pas dans les clés run, c’est destroye.

Sinon voici une copie des clés dans winlogon:
Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Nom de la classe :
Heure de dernière écriture : 04/05/2005 - 19:46
Valeur 0
Nom : AutoRestartShell
Type : REG_DWORD
Données : 0x1

Valeur 1
Nom : DefaultDomainName
Type : REG_SZ
Données : SOS_PC

Valeur 2
Nom : DefaultUserName
Type : REG_SZ
Données : Guillaume

Valeur 3
Nom : LegalNoticeCaption
Type : REG_SZ
Données :

Valeur 4
Nom : LegalNoticeText
Type : REG_SZ
Données :

Valeur 5
Nom : PowerdownAfterShutdown
Type : REG_SZ
Données : 0

Valeur 6
Nom : ReportBootOk
Type : REG_SZ
Données : 1

Valeur 7
Nom : Shell
Type : REG_SZ
Données : Exploker.exe

Valeur 8
Nom : ShutdownWithoutLogon
Type : REG_SZ
Données : 0

Valeur 9
Nom : System
Type : REG_SZ
Données :

Valeur 10
Nom : Userinit
Type : REG_SZ
Données : C:\WINDOWS\system32\userinit.exe,

Valeur 11
Nom : VmApplet
Type : REG_SZ
Données : rundll32 shell32,Control_RunDLL “sysdm.cpl”

Valeur 12
Nom : SfcQuota
Type : REG_DWORD
Données : 0xffffffff

Valeur 13
Nom : allocatecdroms
Type : REG_SZ
Données : 0

Valeur 14
Nom : allocatedasd
Type : REG_SZ
Données : 0

Valeur 15
Nom : allocatefloppies
Type : REG_SZ
Données : 0

Valeur 16
Nom : cachedlogonscount
Type : REG_SZ
Données : 10

Valeur 17
Nom : forceunlocklogon
Type : REG_DWORD
Données : 0x0

Valeur 18
Nom : passwordexpirywarning
Type : REG_DWORD
Données : 0xe

Valeur 19
Nom : scremoveoption
Type : REG_SZ
Données : 0

Valeur 20
Nom : AllowMultipleTSSessions
Type : REG_DWORD
Données : 0x1

Valeur 21
Nom : UIHost
Type : REG_EXPAND_SZ
Données : logonui.exe

Valeur 22
Nom : LogonType
Type : REG_DWORD
Données : 0x1

Valeur 23
Nom : Background
Type : REG_SZ
Données : 0 0 0

Valeur 24
Nom : DebugServerCommand
Type : REG_SZ
Données : no

Valeur 25
Nom : SFCDisable
Type : REG_DWORD
Données : 0x0

Valeur 26
Nom : WinStationsDisabled
Type : REG_SZ
Données : 0

Valeur 27
Nom : HibernationPreviouslyEnabled
Type : REG_DWORD
Données : 0x1

Valeur 28
Nom : ShowLogonOptions
Type : REG_DWORD
Données : 0x0

Valeur 29
Nom : AltDefaultUserName
Type : REG_SZ
Données : Guillaume

Valeur 30
Nom : AltDefaultDomainName
Type : REG_SZ
Données : SOS_PC

Valeur 31
Nom : DontDisplayLastUserName
Type : REG_SZ
Données : 0

Je m’aperçois qu’il manque aussi adiras.exe qui etait dans msconfig

c’est vraiment le b… le bazard ces progs qui apparaissent et qui disparaissent!

attention à wupdater

wupdater c:\Program Files\Common files\updater\wupdater.exe
-> c’ est un spyware aussi ! on ne l’avait pas encore vu dans les log - pourquoi est-il là maintenant ? mystere!
-> passer le PC avec Ad-aware, Spybot search and destroy

Pour toutes les entrées IME qu’on voit dans Msconfig:

normalement , IME veut dire Input Methode Editor ( il me semble) ; c’est un add-on pour I.E , Word (je crois aussi) qui sert à travailler avec des langues trèx complexes et transformer les mots en signes japonais ou chinois par exemple.

Est-ce que tu as bien installé un tel add-on ?

Donc, en gros, refaire des analyses avec des anti-Spyware encore une fois ( en sans echec , c’est mieux)

J’ai regardé la clé Winlogon par rapport à la mienne : pas de pb ( à part le Exploker bien sur)

re moi :slight_smile:
Bon et bien menage avec adaware, que j’avais deja fait, et puis avec spybot qui m’a enlevé quelques cochonneries mais rien de neuf a l’horizon.
Je crois que je vais supprimer ces repertoire ime, en mode console, vu que je ne peux les supprimer en session car utilisés, ils ne devraient pas d’ailleurs puisque enlevés de msconfig? Je vais jeter l’ordi du pont d el’ile de ré…

oui, j’ai vu que tu étais de la-bas ( La Rochelle)
ça va faire un beau Plouf!

Pour ce qui est de ces répertoires IME , du programme Mstinit : tout cela est du domaine Microsoft ; ce sont des programmes MS . Qui a installé ces programmes ?
… ou alors le PC est hacké par quelqu’un ?

Je ne comprends vraiment plus très bien ce qui se passe!

Déconnecte le réseau , et essaye de voir comment ça réagit.
Par la commande SET, dans l’invite de commande, regarde aussi l’état de toutes les variables:
%windir%
%programFiles%
… pour voir si ça expliquerait que explorer.exe ou iexplore.exe ne sont pas trouvés.

Tiens, si il y un chat qui passe par là, je lui donne ma langue … :frowning:

Euh bah pour les repertoires ime de toute façon ils n’existent deja plus je suis allé faire un tour en mode commande :slight_smile: Pas de difference de toute façon.
J’ai regardé les variables avec SET mais c’est bon j’avai deja regardé par le poste de travail.
Et pour le reseau et bien j’ai le même problème en mode
sans echec donc ça n’y change rien… j’ai un chat si tu veux, moi je lui mettrai bien mon pied ou je pense ça me defoulerait, d’autant qu’il arrete pas de me deranger!!!
Bon la je crois que je ne vais rien pourvoir faire.
C’est quand même etrange, je repense aux variables, de toute façon même quand je vais directement dans le repertoire program files\internet explorer pour double cliquer sur le fichier iexplore.exe, j’ai le message comme quoi li ne le trouve pas. C’est assez delirant.
Bon, sur ce je crois que je vais aller me coucher je sature.
Encore merci a toi pour le temps que tu y passe, c’est
vraiment très sympa.
Bonne fin de soirée et bonne nuit

Bonjour,

oui, tout le probleme est en fait là : il ne le trouve pas!

Ça ne serait pas une question de masquage des extensions de nom de fichiers ?
Par exemple, la vraie extension serait .lnk , et ce serait la cible de ce fichier qui n’existerait pas?
(–> début de :pt1cable: , mais à vérifier quand même)

Bonjour,
Bonne nouvelle ce matin, ne sachant plus quoi faire je suis allé sur telecharger.com pour essayer de trouver des petits outils gratuits pour faire du nettoyage sur la machine, sait-on jamais. Bah j’ai bien fait, si j’avais su j’aurai fait ça ds le debut, bref. J’ai telecharger l’outil easycleaner, dont voici le lien direct :

http://www.01net.com/outils/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/tele8351.html

J’ai fais tous les nettoyages possibles, en prenant quand la precaution de verifier ce que je supprimais, et du coup ça remarche, grand luxe. Ca fait du bien par ou ça passe.
Par contre je n’ai aucune idée d’ou ça venait, dommage.

Je te conseil de garder ce petit soft sur ta machine, comme
quoi ça peut servir parfois.

En tout cas un grand merci pour ton intérét et le temps que tu y as passé. Vraiment très sympa de ta part.
Tiens, tant que j’y suis, puisque tu es dans le milieu de
l’info, et que comme moi tu as peut etre debuté à l’epoque des bons vieux thomson, amstrad, atari et autres amiga, j’ai un Amstrad 6128 en super etat avec imprimante, dont je n’arrive pas a me defaire, si tu es interressé c’est cadeau, ou si tu connais quelqu’un. Sachant qu’il est sur la rochelle :slight_smile:

Allez, bonne journée a toi et encore merci!

Guillaume

Bonjour,

bonne nouvelle effectivement :smiley:
Je connaissais EasyCleaner mais ne pensais quand même pas que ce prog aurait pû résoudre un probleme pareil , donc tout est bien qui finit bien.

Merci pour l’offre de l’Amstrad mais je n’en ai pas besoin. C’est une vraie pièce de musée. J’avais commencé par le TI99 à l’époque, mais je ne l’ai plus non plus.

Pour le merci : de rien . Tu étais dans la pannade, fallait bien tenter quelque chose.

Bye