[Résolu] Faire du ménage sur mon PC

[p522997]

Bonsoir,
Je souhaite faire un "gros nettoyage de printemps" dans mon PC.
A l'aide du rapport OTL que je n'arrive pas décrypter, pouvez-vous trouver des pistes ?

Jean

[SkyTech]

Yop,

Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l’operation que tu conserveras afin d’en coller le resultat:

:OTL
DRV - (WDICA) -- File not found
DRV - (wanatw) -- system32\DRIVERS\wanatw4.sys File not found
DRV - (PDRFRAME) -- File not found
DRV - (PDRELI) -- File not found
DRV - (PDFRAME) -- File not found
DRV - (PDCOMP) -- File not found
DRV - (PCIDump) -- File not found
DRV - (ndqqqdhi) -- C:\WINDOWS\system32\drivers\ndqqqdhi.sys File not found
DRV - (lbrtfdc) -- File not found
DRV - (i2omgmt) -- File not found
DRV - (Changer) -- File not found
DRV - (catchme) -- C:\DOCUME~1\Jean\LOCALS~1\Temp\catchme.sys File not found
SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinsta ... s-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
[2013/04/20 13:59:36 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2013/04/20 13:59:36 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2013/04/20 13:59:36 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2013/04/20 13:59:36 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013/04/15 18:18:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Application Data\McAfee
[2013/04/13 16:12:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\McAfee
[2013/04/21 13:02:49 | 000,001,052 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013/04/21 11:39:00 | 000,001,056 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010/11/21 10:34:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\AVG10
[2010/11/21 10:27:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\avg9
[2011/05/04 21:55:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\jP06511MbLeN06511
[2012/12/12 14:23:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\PC Drivers HeadQuarters
:services
gupdate
gupdatem
gusvc
:files
C:\Program Files\Google\Update
C:\Program Files\Google\Common\Google Updater
:commands
[purity]
[emptytemp]
[emptyflash]

* redemarre le pc et poste le rapport ici

---

Télécharge HiJackThis de Merijn sur ton bureau.

• Procède à son installation.
• Une fois l'installation achevée, lance le via son icône sur le bureau ou bien via Démarrer>Tout les Programmes>HijackThis>Hijackthis
• Clique sur "Do a system scan and save a logfile".
• Le rapport s'affiche dans le bloc-note à présent.
• Copie colle son contenu dans ton prochain message sur le forum.

Note: Tu peut t'aider de ce tutorial si tu rencontre un problème: Guide sur HiJackThis

[p522997]

Bonjour
Merci pour la réponse,voici le rapport HijackThis

Jean

[SkyTech]

Yop,

Et le rapport OTL ?

Relance HijackThis (clic droit dessus, Exécuter en tant qu'administrateur), coche ces lignes en rouge et clic sur Fix checked.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: ÿþ127.0.0.1 localhost
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SDMSSplash] "C:\Program Files\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Program Files\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [LayoutM] KLayMgr.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "c:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.3.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

---

Désactive CTFMON.exe :

Panneau de configuration >>> Options régionales et linguistiques >>> Langues >>> Détails >>> Avancé >>> Cocher la case "Arrêtez les services de texte avancés"

Désactive aussi Java Quick Starter :

Panneau de configuration (de Windows) > Java > Avancé > Divers > Décocher Java Quick Starter.

---

Utilise cette astuce : http://forum.malekal.com/executer-dans- ... tml#p64205

Et :

Menu démarrer, exécuter, tape services.msc, entrée

Dans la fenêtre qui s'ouvre cherche :

PDF Document Manager
Pml Driver HPZ12

Double clique dessus, dans type de démarrage mets manuel.

---

/!\ Désactive ton antivirus /!\

Télécharge OTM (de OldTimer). Sauvegarde-le sur ton Bureau.
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

:services
gupdate1ca1a7da115e28
gupdatem

:files
C:\Program Files\Google\Update

:commands
[purity]
[emptytemp]
[emptyflash]

Double clique sur OTM.exe afin de le lancer.
Colle (ou Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
Clique maintenant sur le bouton MoveIt! puis ferme OTM.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Poste un nouveau rapport HijackThis.

[p522997]

Bonjour,
J'ai bien suivi tes instructions, voici le rapport.
Faut-il encore faire quelque chose ?

Jean

[p522997]

Bonjour,
Excuse-moi je me suis trompé de rapport, je te l'envoie vers 17:00 heures

Jean

[p522997]

Bonjour, voici les bons rapports

Jean

[SkyTech]

Re,

Supprime :

C:\_OTM

Fix ces lignes :

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 3.3.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe

Désactive CTFMON.exe :

Panneau de configuration >>> Options régionales et linguistiques >>> Langues >>> Détails >>> Avancé >>> Cocher la case "Arrêtez les services de texte avancés"

Comment se comporte le PC ?

[p522997]

Re,

Supprime : C:\_OTM ? Je n'ai pas OTM, je ne trouve que _OTL. Dois supprimer _OTL ?

Avec HijackThis, je ne trouve pas la ligne ci-dessous pour la fixer :
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background



Désactive CTFMON.exe :
----> cette option était déjà "COCHEE"
La désactivation a-t-elle fonctionnée ? Je ne la trouve pas dans msconfig - Démarrage !

Jean

[SkyTech]

Re,

Supprime : C:\_OTM ? Je n'ai pas OTM, je ne trouve que _OTL. Dois supprimer _OTL ?

Oui.

La désactivation a-t-elle fonctionnée ? Je ne la trouve pas dans msconfig - Démarrage !

Ca devrait être bon alors.

Comment se comporte le PC ?

[p522997]

Bonjour,
Le PC fonctionne super, c'est une "Formule 1". Merci pour ton aide éclairée.

Pour essayer de suivre les conseils du site, j'utilise :
- CCleaner : est-ce le bon outil sinon quel conseil ?
- Malwarebytes Anti-Malware, RogueKiller, TDSSKiller : pour analyser de temps en temps le PC. Ton avis ?

Question :
Actuellement lors d'une connexion internet avec FireFox, après un moment, un appel automatique à une page de jeux comme "PlanetSide2" se produit. Comment faire pour interdire ces appels intempestifs et plus globalement pour interdire les appels à de la pub.

Jean

[SkyTech]

Bonjour,

- Malwarebytes Anti-Malware, RogueKiller, TDSSKiller : pour analyser de temps en temps le PC. Ton avis ?

Non ce sont des tools de désinfection (sauf MalwareBytes) donc à utiliser uniquement en cas d'infection, sinon tu risques d'endommager ton PC en cas de faux positif.

Actuellement lors d'une connexion internet avec FireFox, après un moment, un appel automatique à une page de jeux comme "PlanetSide2" se produit. Comment faire pour interdire ces appels intempestifs et plus globalement pour interdire les appels à de la pub.

http://sebsauvage.net/rhaa/index.php?20 ... e-grand-il
http://www.sebsauvage.net/rhaa/index.ph ... sur-le-web


C'est Ok

Finir le nettoyage :

Supprime :

C:\Program Files\Trend Micro\HijackThis\backups

Tu peux désinstaller\supprimer les programmes que nous avons utilisé via Ajout\Suppression de programmes du Panneau de configuration (XP) ou via désinstaller un programme (Vista / Seven)

Passe un coup de CCleaner (décoche la toolbar à l'installation)

Règle-le d'abord comme ici :

• Clique sur le Pinceau,
• Lancer le Nettoyage.
• Patiente,
• Ensuite clique sur Registre,
• Chercher des erreurs,
• Une fois l'analyse terminer clique sur Réparer les erreurs sélectionnées,
• CCleaner va te demander si tu veux Sauvegarder ou non, à toi de voir si tu le veux ou pas,
• Clique sur Corriger toutes les erreurs sélectionnées,
• OK,
• Tu peux fermer CCleaner.

Défragmente ton DD avec MyDefrag.

Défragmente ta base de registre avec NTREGOPT (Pour Vista / Seven : Clique droit dessus, exécuter en tant qu'administrateur)

Pendant la défragmentation (assez rapide) avec NTREGOPT ne tente pas de faire quoique ce soit avec le PC, tu ne pourras pas !

Désactiver l'indexation des fichiers :

• Poste de travail ou Ordinateur,
• Clique-droit sur les disques durs,
• Propriétés,
• Décochez :
  • Sur Xp : Autoriser l'indexation de ce disque pour la recherche rapides de fichiers
  • Sur Vista : Indexer ce lecteur pour une recherche rapide
• Appliquer les modifications à C:\et à tous les sous-dossiers et fichiers, si un message d'erreur apparaît cliquer sur Ignorer. Laissez faire.

Désactive puis réactive la restauration du système

[p522997]

Bonjour,
Après quelques jours d'absence, j'ai repris la remise en ordre de mon PC.
J'ai bien suivi l'ensemble des instructions de ton dernier mail.
J'ai lancé un rapport HiJackThis pour voir après quelques heures d'utilisation les évolutions éventuelles. Par ailleurs, comme cela m'intéresse, cela me permet de m'initier à la lecture de ce genre de document et d'essayer de comprendre son contenu.
Il me semble comprendre que :
C:\WINDOWS\system32\ctfmon.exe --> le fichier s'est réinstallé malgré sa dernière désactivation.
C:\Program Files\Messenger\msmsgs.exe --> comment le supprimer ?

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe --> à supprimer ?
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background --> à supprimer ?
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll --> à supprimer ?
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll --> ??????
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll --> ??????

Section O23 : des suppressions ou modifications sont-elles à faire ?

Merci par avance

Jean

[SkyTech]

Yop,

C:\WINDOWS\system32\ctfmon.exe --> le fichier s'est réinstallé malgré sa dernière désactivation.
C:\Program Files\Messenger\msmsgs.exe --> comment le supprimer ?

Fix les lignes 04 en rapport.

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll --> ??????
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll --> ??????

A laisser.

Section O23 : des suppressions ou modifications sont-elles à faire ?

Aucune HijackThis n'a aucun effet sur ces lignes.

[p522997]

Bonjour,
Merci encore pour tous les conseils
Je n'avais jamais fait un ménage pareil sur mon PC. Il a retrouvé un tonus extra-ordinaire.
Il ne reste plus qu'à le maintenir à ce niveau .....

Cordialement
Jean