Supprimer un lancement d'installation au démarrage de Windows XP [Résolu]

[Popa1307]

Bonjour, j'ai un petit souci à chaque démarrage de Win XP, j’ai un programme nommé "Sikypix Déveloper Studio Pro English" qui essais de s'installer, j'aimerai arrêter ce processus définitivement, mais comment faire ?
Merci de bien vouloir m'aider
@+ Eddy

[l_autodidacte]

Deux approches à considérer:

1 - Essaie de désactiver ce programme dans Msconfig (Exécuter et tape Msconfig puis OK)
2 - Du côté du registre : Regarde si le nom du programme figure sous la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run et supprime-le.

[sevyc64]

3 - Du côté du registre : Regarde aussi sous la clé HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run

ainsi que les sous clés RunOnce.

Les utilitaires d'installations qui ne s'exécutent qu'une seule fois au redémarrage suivant sont normalement enregistrés dans les sous clé RunOnce au lieu de Run

[tigzy]

Hello

Un petit log Hijack This mettrait tout le monde d'accord

[shawn12]

Tu peux aussi utiliser l'utilitaire gratuit Autoruns : http://windows.developpez.com/telech.../1282/Autoruns

[AcRy07]

Bonjour,

Je pense qu'en passant par "msconfig" tu peux voir les programmes dans "démarrage" et décoché le process que tu veux enlever.

Cdt,
Benoit

[tigzy]

Oui, c'est même sûr, mais c'est toujours plus pratique de travailler avec des logs que des images
Si on veut pouvoir l'aider, il faut un outil adapté.

[Popa1307]

Merci à tous pour vos réponses, j'ai supprimé tout ce qui était dans le registre concernant ce programme Silkypix mais rien n'y fait et dans msconfig "démarrage" je ne vois pas ce programme.
J'ai aussi par désespoir de cause installé ce programme, mais même installé à chaque démarrage, j'avais encore et toujours ce programme qui demandai à être installé ? J'ai donc supprimé ce prog avec ajout/supp et puis passé par le registre mais rien n'y fait.
J’ai oublié de vous dire qu'a chaque démarrage, j'avais aussi une fenêtre AVG (Antivirus) qui me signalai que le pc était infecté par 3 cheval de troie, j'avais déjà essayé de les supprimés avec AVG, rien n'y fait non plus et quand je scan le C: rien nada, il ne détecte absolument rien.
Pour finir, j’ai installé Spybot fait une analyse qui n’a rien trouvé non plus et en dernier mon sauveur Malwarebyte qui lui à tout supprimé.

Voici le rapport après désinfection :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 6061

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15/03/2011 08:35:30
mbam-log-2011-03-15 (08-35-30).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 157787
Temps écoulé: 10 minute(s), 55 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
C:\Program Files\Application Updater\ApplicationUpdater.exe (PUP.Dealio) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\application updater (PUP.Dealio) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Program Files\Application Updater\ApplicationUpdater.exe (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\searchsettings (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\audio hd driver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\audio hd driver (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\audio hd driver (Backdoor.SpyNet) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Application Updater\ApplicationUpdater.exe (PUP.Dealio) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\solitaire.exe (Malware.Gen) -> Quarantined and deleted successfully.
C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe (PUP.Dealio) -> Delete on reboot.
C:\Documents and Settings\Administrateur\Application Data\SystemDriver.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msnmsgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temp\SystemDriver.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
Encore un grand merci à tous.
@+ Eddy

[tigzy]

ok, une infection Adware
Désinstalle SPybot, ça sert à rien.

Télécharger sur le bureau
AD-Remover
= Double-Clic AD-R pour l'installer
= Double-Clic AD-Remover, raccourci qui vient de se créer sur le bureau
= Faire Nettoyer
= En fin de scan donner le rapport

-----

• Télécharge ZHPDiag sur le bureau , et lance le
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Sous vista/seven, si un message d'erreur apparait , clique droit => exécuter en tant qu'admin
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

[Popa1307]

Ok, voici le rapport ad-remover :

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 17:22:10 le 15/03/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Administrateur@1723CECB1FF844E ( )

============== RECHERCHE ==============


Fichier trouvé: C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com
Dossier trouvé: C:\Program Files\Application Updater
Dossier trouvé: C:\Documents and Settings\Administrateur\Application Data\pdfforge
Dossier trouvé: C:\Program Files\pdfforge Toolbar
Dossier trouvé: C:\Documents and Settings\Administrateur\Application Data\Search Settings
Dossier trouvé: C:\Program Files\Fichiers communs\Spigot

Clé trouvée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé trouvée: HKLM\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé trouvée: HKLM\Software\Application Updater
Clé trouvée: HKLM\Software\pdfforge
Clé trouvée: HKLM\Software\PopCap
Clé trouvée: HKLM\Software\Search Settings
Clé trouvée: HKCU\Software\AppDataLow\Software\pdfforge
Clé trouvée: HKCU\Software\AppDataLow\Software\Search Settings
Clé trouvée: HKLM\Software\Classes\Installer\Products\7A931B0A5D8E8E947AFB2124E1562280
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\7A931B0A5D8E8E947AFB2124E1562280

Valeur trouvée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.12 (fr)] ****

HKCU_Extensions|{F17C1572-C9EC-4e5c-A542-D05CBB5C5A08} - C:\Program Files\DAP\DAPFireFox

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\bkmtscmf.default --
Extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} (DVDVideoSoft Menu)
Prefs.js - browser.startup.homepage, hxxp://www.google.be/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.12
Prefs.js - keyword.URL, hxxp://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Search_URL - hxxp://www.google.fr/keyword/%s
HKCU_Main|SearchMigratedDefaultURL - hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
HKCU_Main|Search bar - hxxp://www.google.fr/ie
HKCU_Main|Search Page - hxxp://www.google.fr
HKCU_Main|Start Page - hxxp://www.google.be/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
AboutUrls|Tabs - hxxp://home.speedbit.com/tab/?aff=205
HKCU_URLSearchHooks|{A3BC75A2-1F87-4686-AA43-5347D756017C} - "AVG Security Toolbar BHO" (C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll)
HKCU_URLSearchHooks|{B922D405-6D13-4A2B-AE89-08A030DA4402} - "pdfforge Toolbar" (C:\Program Files\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll)
HKCU_SearchScopes\{65C028AD-621E-45e0-B1E5-751D30ABBAFA} - "SpeedBit Search" (hxxp://home.speedbit.com/search.aspx?aff=206&q={searchTerms})
HKCU_SearchScopes\{AFFB1846-B89C-434B-885F-63A6D7CB4B0F} - "AVG Secure Search" (hxxp://search.avg.com/route/?d=4cf452b2&v=6.10.6.4&i=26&tp=chrome&q={searchTerms...)
HKCU_Toolbar\WebBrowser|{472734EA-242A-422B-ADF8-83D1E48CC825} (x)
HKCU_Toolbar\WebBrowser|{CCC7A320-B3CA-4199-B1A6-9F516DD69829} (C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll)
HKLM_Toolbar|{D2F8F919-690B-4EA2-9FA7-A203D1E04F75} (C:\Program Files\styler\TB\StylerTB.dll)
HKLM_Toolbar|{CCC7A320-B3CA-4199-B1A6-9F516DD69829} (C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll)
HKLM_Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402} (C:\Program Files\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll)
HKLM_ElevationPolicy\{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\ToolbarBroker.exe (?)
HKLM_Extensions\{B205A35E-1FC4-4CE3-818B-899DBBB3388C} - "Barre de recherche Encarta" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{7E853D72-626A-48EC-A868-BA8D5E23E045} (?)
BHO\{A3BC75A2-1F87-4686-AA43-5347D756017C} - "AVG Security Toolbar BHO" (C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll)
BHO\{B922D405-6D13-4A2B-AE89-08A030DA4402} - "pdfforge Toolbar" (C:\Program Files\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll)
BHO\{FF6C3CF0-4B15-11D1-ABED-709549C10000} - "Download Accelerator Plus Integration" (C:\PROGRA~1\DAP\DAPIEL~1.DLL)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 15/03/2011 17:22:41 (4481 Octet(s))

Fin à: 17:23:30, 15/03/2011

============== E.O.F ==============

[tigzy]

ok, ya eu du ménage... ZHPDiag?

[Popa1307]

Re, voici le rapport ZHP Diag http://up.sur-la-toile.com/iKcs
Merci

[tigzy]

C'est un windows Piraté?
Le logiciel sikipyx était livré avec ton imprimante?

Essaie de fixer ces lignes dans Hijack this.

Citation:

O4 - HKUS\S-1-5-18\..\RunOnce: [BrStsWnd.exe] . (.brother - brstswnd.) -- C:\Program Files\Brownie\BrStsWnd.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [BrStsWnd.exe] . (.brother - brstswnd.) -- C:\Program Files\Brownie\BrStsWnd.exe

Est ce que la désinfection a résolu le problème?
Si oui, ne PAS fixer les lignes ci dessus

[Popa1307]

Non, je n'ai plus de problème depuis que j'ai désinfecté avec Malwarebyte, encore une petite question, comment as tu vue que c'est un Win piraté

[tigzy]

Citation:

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll

[Popa1307]

OK !!!!!

Encore merci pour tous
@+ Eddy

[tigzy]

ok cool.

* Télécharge DELFix de Xplode
* Lance le.
* A l'invite, tape 2 (suppression)
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

---------

Télécharger
Ccleaner
et installer ==> Sur la page qui offre plusieurs choix , ne laisser cochés que les 2 premiers :
« ajouter un raccourci sur le bureau » et « ajouter un raccourci dans le menu démarrer »
Lancer Ccleaner ==> Analyse puis lancer le nettoyage

---------

si tu n'as plus de problèmes, pense à mettre le marqueur résolu

--------

Tu peux lire ce sujet sur les logiciels et les attitudes responsables sur le web:
Logiciels de secu recommandés

Ainsi que celui-ci sur le danger des cracks/Keygens
Et celui ci, sur les logiciels gratuits à éviter

------

Tu peux garder Malwarebytes pour un scan de temps à autres

[Popa1307]

Voilà le rapport DelFix :

DelFix v7.5 - Rapport créé le 16/03/2011 à 22:07
# Mis à jour le 15/03/11 à 16h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Administrateur - 1723CECB1FF844E (Administrateur)
# Exécuté depuis : D:\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~


~~~~~~ Fichier(s) ~~~~~~


~~~~~~ Registre ~~~~~~


~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSuppr.txt" - [549 octets] ##########

Je crois avoir fait une mauvaise manœuvre, j’avais un rapport ou les 3 prog était marqué supprimé, puis j’ai fait désinstaller sans copier le texte

Puis j'ai néttoyé avec C Cleanner.
Désolé

Encore un grand grand merci pour le temps que vous m'avez consacré.
J'avais déjà mis le sujet comme résolu
@+ Eddy

[tigzy]

C'est pas grave, ce rapport n'est pas important