HijackThis - Analyse des lignes O4 - Autoloading programs from Registry

Emplacements analysés
HKLM = ruche "HKEY_LOCAL_MACHINE" dans la base de registre (touche tous les utilisateurs)
HKCU = ruche "HKEY_CURRENT_USER" dans la base de registre (touche l'utilisateur courant)
HKUS = ruche "HKEY_USERS" dans la base de registre

Pour O4

Pratiquement, toutes les clés contenant le mot "run" dans les ruches suivantes sont analysées dans la section O4

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices

SID S-1-5-18 (Système local. Un compte de service qui est utilisé par le système d'exploitation)
HKUS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run
HKUS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKUS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunServices

SID S-1-5-19 (NT Authority. Service local)
HKUS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run
HKUS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKUS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunServices

SID S-1-5-20 (NT Authority. Service réseau)
HKUS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run
HKUS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKUS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunServices

SID S-1-5-21 (Compte utilisateur sur un domaine)
HKUS\S-1-5-identificateur de domaine-identificateur relatif\Software\Microsoft\Windows\CurrentVersion\Run
HKUS\S-1-5-identificateur de domaine-identificateur relatif\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKUS\S-1-5-identificateur de domaine-identificateur relatif\Software\Microsoft\Windows\CurrentVersion\RunServices
Exemples de clés :
HKUS\S-1-5-21-682003330-2077806209-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Run
HKUS\S-1-5-21-682003330-2077806209-839522115-1006\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKUS\S-1-5-21-682003330-2077806209-839522115-1006\Software\Microsoft\Windows\CurrentVersion\RunServices

Dossier de démarrage "Global"
Valable pour tous les utilisateurs de la machine :
C:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage

Dossier de démarrage "Startup"
Valable pour l'utilisateur qui s'est identifié (Login)
C:\documents and settings\ "identifiant de login" \Menu Démarrer\Programmes\Démarrage

Nota : Les clés suivantes ne sont pas analysées par HijackThis
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows (Dans le volet de droite, les valeurs appelées "Run" et "Load")
HKUS\N° de SID _Classes\Software\Microsoft\Windows\CurrentVersion\Run

Un dossier sur tous les emplacements utilisables pour lancer quelque chose lors du démarrage de Windows peut être consulté sur Assiste.com : Liste des emplacements de lancement utilisés.

Usage / Signification

Pour O4

Correspond aux inscriptions dans les clés et dossiers prévus pour des chargements automatiques.
Tout ce qui est inscrit dans l'une de ces clés, dans le dossier de démarrage "Global" et dans le dossier de démarrage de l'utilisateur identifié est lancé automatiquement au démarrage de Windows et au démarrage de la session utilisateur.

Pratiquement tous les programmes que vous installez, tous les pilotes (drivers), tous les constructeurs d'ordinateurs (avec leur Windows OEM modifié), tous les fournisseurs d'acès Internet (avec leur "Kit de connexion) et Microsoft Windows ont tendance à inscrire tout un tas de trucs quasiment tous inutiles (et, en plus, souvent hostiles à la protection de la vie privée), au démarrage de Windows.

Par exemple, la "pack office" de Microsoft, comme le "pack office" Open Office et tout un tas d'applications installent un module résident en mémoire afin que leurs applications se lancent et s'ouvrent plus rapidement. Résultat : des tas de programmes traînent en mémoire et, alors que les applications se chargent un pouillème de nanoseconde plus rapidement grâce à ces "trucs" encombrants, c'est la totalité de la machine qui s'écroule par manque de mémoire !

Autre exemple, Java implante un module de recherche de mises à jour qui va, quotidiennement, se connecter sur le site de Java afin de rechercher un éventuel "update" alors qu'il n'y en a qu'un ou deux par an !

Windows va chercher sans arrêt des mises à jour alors qu'elles n'ont lieu que le second mardi de chaque mois (le "Tuesday Patch").

Et, à chaque connexion, jour après jour, plusieurs fois par jour, des informations sont transmisent, on ne sait lesquelles vers on ne sait où...

Bien entendu, les crapules du Net, maffieux et autres gangsters, tentent d'assurer le lancement automatique et systématique de leurs parasites en les inscrivant dans ces emplacements.

Comportement des clés RunOnce et RunOnceEx
Syntaxe de la clé de Registre RunOnceEx

Exemples en rouge = exemples d'hostilités à supprimer ("Fix checked")

Pour O4

HKLM Run
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC210NC Webcam
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

HKLM RunOnce
O4 - HKLM\..\RunOnce: [MRUBlaster] C:\Program Files\MRU-Blaster\indexcleaner.exe -COOKIES
O4 - HKLM\..\RunOnce: [RunOnceEx] rundll32.exe C:\WINDOWS\system32\iernonce.dll,RunOnceExProcess

HKLM RunServices
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [SYSXS.EXE] C:\WINDOWS\SYSTEM\SYSXS.EXE /s

HKLM RunServicesOnce
O4 - HKLM\..\RunServicesOnce: [washindex] c:\Program Files\Washer\washidx.exe "GM"
O4 - HKLM\..\RunServicesOnce: [Manager 006] C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunServicesOnce: [washindex] C:\Program Files\Washer\washidx.exe "SALEM"
O4 - HKLM\..\RunServicesOnce: [WinTools] C:\PROGRA~1\FICHIE~1\WINTOOLS\WTOOLSA.EXE /boot
O4 - HKLM\..\RunServicesOnce: [washindex] E:\Program Files\Cookie Washer\washidx.exe "Marc"

HKCU Run
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealPlayer\realplay.exe" /RunUPGToolCommandReBoot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

HKCU RunOnce
O4 - HKCU\..\RunOnce: [SpybotDeletingB5772] command /c del "C:\Program Files\WinAntiVirus Pro 2007\mfc71.dll_tobedeleted_old"
O4 - HKCU\..\RunOnce: [Del12365] cmd /c del C:\WINDOWS\rk.exe

HKCU RunServices
O4 - HKCU\..\RunServices: [Windows Update Service] update32.pif
O4 - HKCU\..\RunServices: [] john.exe
O4 - HKCU\..\RunServices: [Browser Help Svc] BHSV.EXE
O4 - HKCU\..\RunServices: [Windows ExPort] WinTK.exe
O4 - HKCU\..\RunServices: [Norton Antivirus] nortonav.exe
O4 - HKCU\..\RunServices: [Windows Security] ms32.pif
O4 - HKCU\..\RunServices: [Win Security] msw32.pif
O4 - HKCU\..\RunServices: [Wind Security] mswi32.pif
O4 - HKCU\..\RunServices: [HTML Help System] hhs.pif
O4 - HKCU\..\RunServices: [HP Service Drivers] ndta32.exe
O4 - HKCU\..\RunServices: [Microsoft CSRSS Service] nsmscrs.exe

HKCU RunServicesOnce
O4 - HKCU\..\RunServicesOnce: [washindex] C:\Program Files\Washer\washidx.exe
O4 - HKCU\..\RunServicesOnce: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\RunServicesOnce: [SchedulingAgent] mstask.exe
O4 - HKCU\..\RunServicesOnce: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKCU\..\RunServicesOnce: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\RunServicesOnce: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\RunServicesOnce: [AolAcsDaemon1] "C:\PROGRAM FILES\FICHIERS COMMUNS\AOL\ACS\AOLACSD.EXE"
O4 - HKCU\..\RunServicesOnce: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg

HKUS .DEFAULT Run
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [MySpaceIM] C:\Program Files\MySpace\IM\MySpaceIM.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

HKUS .DEFAULT RunOnce
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

HKUS .DEFAULT RunServices
O4 - HKUS\.DEFAULT\..\RunServices: [SYSTEM] winmgrd.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [SYSTEM] wuamgre.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Windows Services] spoolsvc.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [File Mapping Services] hp-1003.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [System Update Service] update.pif (User 'Default user')

HKUS S-1-5-18 Run
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

HKUS S-1-5-18 RunOnce
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')

HKUS S-1-5-18 RunServices
O4 - HKUS\S-1-5-18\..\RunServices: [Windows Update] mnz.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [Remote Procedure Calls] mswinc.exe (User 'SYSTEM')

HKUS S-1-5-19 Run
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

HKUS S-1-5-19 RunOnce
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')

HKUS S-1-5-19 RunServices
O4 - HKUS\S-1-5-19\..\RunServices: [File Mapping Services] hp-1003.exe (User 'SERVIZIO LOCALE')

HKUS S-1-5-20 Run
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')

HKUS S-1-5-20 RunOnce
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')

HKUS S-1-5-20 RunServices
O4 - HKUS\S-1-5-20\..\RunServices: [File Mapping Services] hp-1003.exe (User 'SERVIZIO DI RETE')

HKUS S-1-5-21 Run
O4 - HKUS\S-1-5-21-2281000671-1524349874-3754451250-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Emmanuelle & JMC')
O4 - HKUS\S-1-5-21-2281000671-1524349874-3754451250-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Alison')
O4 - HKUS\S-1-5-21-2281000671-1524349874-3754451250-1009\..\Run: [CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe (User 'Laurianne')
O4 - HKUS\S-1-5-21-776561741-1647877149-839522115-1003\..\Run: [Windows Service Network] iydhtyrozkg.exe (User '?')
O4 - HKUS\S-1-5-21-776561741-1647877149-839522115-1003\..\Run: [Windows Servicers FEnR] ahogdfshv.exe (User '?')

HKUS S-1-5-21 RunOnce
O4 - HKUS\S-1-5-21-1202660629-2139871995-725345543-500\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Administrateur')
O4 - HKUS\S-1-5-21-861567501-220523388-725345543-500\..\RunOnce: [DAEMON Tools 4.03 Setup] "C:\Documents and Settings\Administrateur\Mes documents\Utilitaires\daemon403-x86.exe" (User '?')
O4 - HKUS\S-1-5-21-606747145-1757981266-725345543-1004\..\RunOnce: [NeroHomeFirstStart] C:\Program Files\Fichiers communs\Ahead\Lib\NMFirstStart.exe (User 'vas1')
O4 - HKUS\S-1-5-21-606747145-1757981266-725345543-501\..\RunOnce: [NeroHomeFirstStart] C:\Program Files\Fichiers communs\Ahead\Lib\NMFirstStart.exe (User 'Invité')

HKUS S-1-5-21 RunServices
O4 - HKUS\S-1-5-21-1214440339-1993962763-1417001333-1003\..\RunServices: [File Mapping Services] hp-1003.exe (User '?')

O4 - S-1-5-21 Startup
O4 - S-1-5-21-2281000671-1524349874-3754451250-1008 Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'Alison')
O4 - S-1-5-21-2281000671-1524349874-3754451250-1009 Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'Laurianne')
O4 - S-1-5-21-1844237615-1547161642-682003330-1003 Startup: Konfabulator.lnk = C:\Program Files\Pixoria\Konfabulator\Konfabulator.exe (User '?')
O4 - S-1-5-21-2642993989-1849308214-425972438-1005 Startup: QuickShelf Fr.lnk = C:\Program Files\Microsoft Reference\Bibliorom Larousse 2.0\QShlf2f.exe (User '?')
O4 - S-1-5-21-3975016824-4267635797-4292663413-1007 Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Enfants')
O4 - S-1-5-21-3975016824-4267635797-4292663413-1007 Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe (User 'Enfants')
O4 - S-1-5-21-776561741-1647877149-839522115-1003 Startup: Xfire.lnk = C:\Program Files\Xfire\xfire.exe (User '?')
O4 - S-1-5-21-861567501-220523388-725345543-500 Startup: Registration Brothers In Arms.LNK = E:\Support\Register\RegistrationReminder.exe (User '?')

O4 - S-1-5-21 User Startup
O4 - S-1-5-21-2281000671-1524349874-3754451250-1008 User Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'Alison')
O4 - S-1-5-21-2281000671-1524349874-3754451250-1009 User Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'Laurianne')
O4 - S-1-5-21-3975016824-4267635797-4292663413-1007 User Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Enfants')
O4 - S-1-5-21-3975016824-4267635797-4292663413-1007 User Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe (User 'Enfants')

O4 - C:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage
O4 - Global Startup: winlogon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TrayMin210.exe.lnk = ?
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O4 - C:\documents and settings\ "identifiant de login" \Menu Démarrer\Programmes\Démarrage
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe

Que faire ? Boite à outils HijackThis

Pour O4

Pour les éléments O4 :
Corrigez ("Fix checked") tout ce qui est hostile.
La lecture de la liste de démarrage de Windows, pour chaque nom de processus lancé ici (ligne O4 d'un journal HijackThis) vous renseignera sur l'utilité, l'inutilité ou l'hostilité de chaque processus.

D'autres listes de processus qui peuvent être consultées :

Listes de démarrage

Les emplacements

Histoire des listes

Les outils

ATW

Liutilities

Microsoft Dll db

Microsoft KB

PacMan (français)

PestPatrol

PestPatrol quick

ProcessLibrary

Si un item montre un programme appartenant au groupe de démarrage général (Global) HijackThis ne peut corriger le problème tant que le programme est actif en mémoire. Utilisez le gestionnaire de tâches de Windows (touches simultanées Alt+Crtl+Suppr (la "manoeuvre à trois doigts") ou lancez TASKMGR.EXE), sélectionnez le processus et tuez-le avant de faire la correction avec HijackThis.

Lorsque vous cochez une case dans un journal HijackThis et cliquez sur le bouton "Fix Checked", HijackThis corrige (supprime) l'élément permettant de lancer le processus (HijackThis supprime la clé de registre ou le raccourci dans le dossier) mais HijackThis ne supprime pas le fichier associé en lui-même. S'il est malveillant (hostile), à vous de le supprimer manuellement. N'oubliez pas que vous pouvez faire analyser un fichier en ligne et gratuitement par des services multi-antivirus comme Virus-Total (32 antivirus simultanément). Voir tous nos scanners antivirus gratuits en ligne.

Cas particuliers : pour les processus lancés depuis les dossiers de démarrage ("Global" et "Startup"), si le processus n'est pas lancé grâce à un raccourci (nom de fichier avec le suffixe .lnk) pointant vers un fichier se trouvant ailleurs mais grâce à la présence directe du fichier dans l'un de ces dossiers, c'est le fichier lui-même que HijackThis détruira lors de la correction (case cochée et clic sur le bouton "Fix checked"). Soyez donc prudent et, en cas de doute, faites analyser le fichier par services multi-antivirus comme Virus-Total et faites vous aider par un spécialiste sur notre forum.