fenêtre qui s'ouvre au démarrage

27/01-2005 à 18:54bonsoir ! depuis quelques jours, j'ai une fenêtre qui s'ouvre systématiquement au démarrage: C:\WINDOWS alors que ça me le faisait pas avant. si ça peut vous aider, voici un scan avec hijackthis:
Logfile of HijackThis v1.99.0
Scan saved at 18:54:13, on 27/01/2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\PROGRAM FILES\EXECUTIVE SOFTWARE\DISKEEPERLITE\DKSERVICE.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\OLITEC\RNIS\GSYNO.EXE
C:\PROGRAM FILES\OLITEC\RNIS\GISDNLOG.EXE
C:\PROGRAM FILES\TWINMOS\MOBILE DISK V3.0\MOBMON.EXE
C:\PROGRAM FILES\TWINMOS\MOBILE DISK V3.0\USBTD.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\MES DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/bin/frame.cgi?service=wanadoo_et_moi&u=http://services.wanadoo.fr/wanadoo_et_moi/compte/bin/compte.cgi
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [GazelDisplay] "C:\Program Files\Olitec\RNIS\gsyno.exe" -h
O4 - HKLM\..\Run: [GisdnLog] "C:\Program Files\Olitec\RNIS\gisdnlog.exe"
O4 - HKLM\..\Run: [UFD Monitor] C:\Program Files\TwinMOS\Mobile Disk V3.0\MobMon.exe
O4 - HKLM\..\Run: [UFD Utility] C:\Program Files\TwinMOS\Mobile Disk V3.0\UsbTD.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [DkService] C:\Program Files\Executive Software\DiskeeperLite\DkService.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\FICHIE~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: EPSON Contrôleur en arrière plan.lnk = C:\ESM2\STMS.exe
O4 - Startup: Moniteur Fax-Voix.lnk = C:\OLIFAXVX\MONITEUR.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRAM FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRAM FILES\FLASHGET\jc_all.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Pages similaires - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Pages liées - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FLASHGET.EXE
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

c'est grave docteur ?

----------
le bonheur n'est pas au bout du chemin, il EST le chemin
http://i22.servimg.com/u/f22/11/12/87/18/22-1810.jpg

27/01-2005 à 19:25

C:\WINDOWS\EXPLORER.EXE

tu as ton explorateur windows qui est dans les processus lancés au démarrage...

27/01-2005 à 19:40

tu as ton explorateur windows qui est dans les processus lancés au démarrage...

Exact, ça répond à la question.. ... mais il y a pas mal de trucs pas clair... à voir avec le lien au dessus...

27/01-2005 à 22:33

C:\WINDOWS\EXPLORER.EXE

Je peux me tromper mais EXPLORER.EXE, c'est le programme qui gère la session. D'ailleurs, si tu le ferme, tu perds tout contrôle sur ta session, et il n'est plus possible d'arrêter le PC

A vérifier quand même

----------
Il faut bien que je supporte deux ou trois chenilles si je veux connaître les papillons (A. de Saint-Exupery)

28/01-2005 à 09:33euh, alors explorer.exe, je le vire du démarrage ou pas, d'après les experts ?

----------
le bonheur n'est pas au bout du chemin, il EST le chemin
http://i22.servimg.com/u/f22/11/12/87/18/22-1810.jpg

28/01-2005 à 10:26Bonjour,
voir peut être le lien de Strato qui analyse le HijackThis.....en FR +
assiste.free.fr/p/pacman/pacman_e.php

----------
Jacky

28/01-2005 à 11:23Bonjour.
Pas de précipitation...
Notre ami est sous w98.
Les 2 seules nécessités pour que la machine tourne sont Explorer et Systray : le noyau (explorer.exe) et la barre des tâches.
Fermer explorer.exe revient à éteindre la machine.
Pour analyser le problème, passer par msconfig et décocher au fur et à mesure.
Lorsque l'on redémarre, on est en mode sélectif.
Pas à pas, on pourra identifier la raison de cette fenêtre intempestive.

28/01-2005 à 11:44

voir peut être le lien de Strato qui analyse le HijackThis.....en FR +

Bâ oui, il faudrait peut-être commencer par ça [°)] ... il signale une demi-douzaine d'entrées suspectes...

28/01-2005 à 15:56

Bâ oui, il faudrait peut-être commencer par ça

c'est ce que j'ai fait: je ne suis quand même pas si borné que ça
j'ai viré MOSEARCH.EXE
GSYNO.EXE, GISDNLOG.EXE, MOBMON.EXE, USBTD.EXE, MONITEUR.EXE, faut pas que je les vire, j'en ai besoin
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/bin/frame.cgi?service=wanadoo_et_moi&u=http://services.wan adoo.fr/wanadoo_et_moi/compte/bin/compte.cgi et O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present , je le vire pas non plus, c'est mon choix
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/ idem

reste ça: O15 - Trusted IP range: 206.161.125.149 et O15 - Trusted IP range: 206.161.125.149 (HKLM)et j'ai beau essayer de les enlever avec hijackthis, ils reviennent !

----------
le bonheur n'est pas au bout du chemin, il EST le chemin
http://i22.servimg.com/u/f22/11/12/87/18/22-1810.jpg

28/01-2005 à 16:43http://www.memoclic.com/forum/lire.php?f=2&i=202602&f2=-1

Pourquoi avoir recréé un topic? [°)]

28/01-2005 à 17:04www.commentcamarche.net/forum/affich-1265540-Hijackthis-Et-apr%25E8s+%22206.161.125.149%22&hl=fr&lr=lang_fr

Voir si chez toi çà marche ? il a le même probléme...

----------
Jacky

28/01-2005 à 17:53

u as ton explorateur windows qui est dans les processus lancés au démarrage...

je me suis mal expprié. En effet, explorer et systray sont indispensables mais... sous forme de services gérés par la bdr pas sous forme de programmes de démarrage.
Ainsi, il'arrive parfois d'avoir un message d'erreur (au démarrage justement) avec "explorer va fermer". Cela n'empêche absolument pas de poursuivre la session : simplement, certaines icônes de résidents dans la barre des tâches disparaissent.
En fait explorer est ouvert plusieurs fois sous win98SE, mais sous forme de service run et non pas de fenêtre de programme.
En l'occurrence, il n'est pas ouvert sous forme de service run dans la bdr mais apparemment sous forme de programme (équivalent de raccourci lnk), d'où son ouverture en fenêtre au démarrage. C'est là sans doute le problème.

Par ailleurs un lookup sur les plages d'adresse que tu indiques donne :

149.125.161.206.in-addr.arpaname = ah1-p4id-88.advancedhosters.com.

Authoritative answers can be found from:
149.125.161.206.in-addr.arpanameserver = ns2.advancedhosters.com.
149.125.161.206.in-addr.arpanameserver = ns1.advancedhosters.com.

à vue de nez, vu son nom, advancehosters.com doit être un adware...
(c'est un site d'hébergement virtuel pas redirection d'adresse) :
http://www.advancedhosters.com/index.shtml

28/01-2005 à 18:45 merci de ta réponse, Johannis et ça se fait comment un lookup ?

----------
le bonheur n'est pas au bout du chemin, il EST le chemin
http://i22.servimg.com/u/f22/11/12/87/18/22-1810.jpg

28/01-2005 à 19:08

Pourquoi avoir recréé un topic?

ah parce que c'était un autre problème que j'ai découvert après le truc de la fenêtre. Il se trouve que j'en ai reparlé sur ce topic-ci, après avoir créé l'autre, tout simplement.

pour ce problème 015 je vais d'abord essayer ton truc, Strato, et si je trouve rien par ce biais, j'irai dans la bdr comme indiqué sur le lien donné par alsaco, parce que le reste j'ai essayé mais ça fonctionne pas: ça revient, même si maintenant je n'ai plus qu'une ligne dessus: O15 - Trusted IP range: 206.161.125.149 (HKLM)

mais tout cela ne me renseigne pas sur la fenêtre qui s'ouvre. Notez bien bien que ça ne me dérange pas qu'elle s'ouvre , mais ça m'inquiète...

----------
le bonheur n'est pas au bout du chemin, il EST le chemin
http://i22.servimg.com/u/f22/11/12/87/18/22-1810.jpg

28/01-2005 à 22:00

et ça se fait comment un lookup ?

en cliquant ici :
http://www.kloth.net/services/nslookup-fr.php

29/01-2005 à 10:18bon finalement, j'ai viré ça directement depuis la bdr.
Pour le problème de la fenêtre qui s'ouvre au démarrage, je n'ai pas de solution: StartupRun ne donne aucune indication à ce sujet...

----------
le bonheur n'est pas au bout du chemin, il EST le chemin
http://i22.servimg.com/u/f22/11/12/87/18/22-1810.jpg