log hijack

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

log hijack

Messagede MARINIHINI » 28 Fév 2005, 09:12

Bonjour,
je suis novice ne info et depuis plussieurs jours je suis embete par des dysfonctionnement de mon ordinateur.

J'ai fais passer Spybot et qq autres et malgre la decouverte de spy et qq autres au redemmarag il y a tjs des lenteurs de fonctionnement , des fenetres antyspy qui s'ouvrent et des blocages clavier.
j'ai decouvert Hisjack j'ai fait ce qu'on indique mais je ne comprend rien a ce que donne le fichier log.
Si qq peut m'aider a trouver et a oter ce qui m'ennui je lui en serai tres reconnaissant
merci d'avnace



Logfile of HijackThis v1.99.1
Scan saved at 08:58:15, on 28/02/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\netdde.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\cisvc.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINNT\system32\GEARSEC.EXE
C:\WINNT\system32\hidserv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\NavNT\rtvscan.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\System32\ofps.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINNT\SYSTEM32\ZONELABS\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\NavNT\vptray.exe
C:\WINNT\system32\pctspk.exe
C:\WINNT\system32\atiptaxx.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\OpenOffice.org1.0.1\program\OOoVirgTray.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\SpamPal\spampal.exe
C:\WINNT\system32\cidaemon.exe
C:\WINNT\system32\cidaemon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\XoftSpy\XoftSpy.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realevent.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - F:\drag\dr505\Program\web_ie.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\SymTray.exe SetReg
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\PINNACLE\PPE\ppe.exe
O4 - HKLM\..\Run: [OmniPage] E:\Program Files\Caere\OmniPagePro10.0\opware32.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [HP Lamp] "C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe"
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\Symtrdr.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [PathOOOvirg] file:///C:/Program%20Files/OpenOffice.org1.0.1/program/OOoVirgTray.exe
O4 - Startup: Registration-Studio 8.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O12 - Plugin for .forte: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a936.g.akamai.net/7/936/537/0000 ... scan53.cab
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promot ... WebAAS.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: CWShredder Service - Unknown owner - E:\spysweeper350V194\CWShredder\CWShredder.exe (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\system32\GEARSEC.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: OmniForm Printer - Unknown owner - C:\WINNT\System32\ofps.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\SYSTEM32\ZONELABS\vsmon.exe
MARINIHINI
 
Messages: 1
Inscription: 28 Fév 2005, 09:03

Messagede nickW » 28 Fév 2005, 11:56

Bonjour,

Remarque préliminaire:
Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier qui lui est réservé.
Je te conseille donc de créer un dossier (par exemple: C:\HJT), et d'y déplacer le fichier HijackThis.exe.

Tu dois corriger (to "fix" en anglais) au moyen d'Hijackthis (cocher la case devant l'élément puis cliquer sur Fix Checked):
R3 - Default URLSearchHook is missing
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - F:\drag\dr505\Program\web_ie.dll (file missing)--->inutile, fichier manquant
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll,DllInstall--->le responsable
O23 - Service: CWShredder Service - Unknown owner - E:\spysweeper350V194\CWShredder\CWShredder.exe (file missing)--->inutile, fichier manquant

Rappel important sur la mise en œuvre d'une correction ("Fix") via HijackThis:
Tout ceci doit être fait
-**- après avoir désactivé TeaTimer de Spybot-S&D s'il est actif (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer),
-**- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
-**- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
-**- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), ou en vidant les dossiers
C:\Documents and Settings\ton-profil\Local Settings\Temporary Internet Files\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temporary Internet Files\
-**- après avoir supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI), sinon il faut vider les dossiers
C:\Windows\Temp\
C:\Documents and Settings\ton-profil\Local Settings\Temp\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temp\
-**- après avoir vidé la corbeille,
-**- après avoir fermé toutes les fenêtres (Explorateur, Internet Explorer, autres programmes),
-**- en mode sans échec (voir ICI).
-**- toujours en mode sans échec, exécuter les logiciels anti-virus, anti-spyware et anti-trojan (CWShredder, Spybot-S&D, Ad-Aware, ...).
-**- toujours en mode sans échec, supprimer le fichier
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll
Note: Ce dossier est affiché en format DOS (8 caractères maxi); je pense qu'il doit s'agir de
C:\Documents and Settings\Administrateur\Local Settings\Temp\se.dll
-**- toujours en mode sans échec, vider la corbeille, le cache d'IE et les fichiers temporaires.

Puis redémarrer l'ordinateur.
Refaire un "log HiJackThis" juste après le redémarrage et le poster à la suite de ce message (pas de nouveau sujet) en précisant si le problème est toujours là.

Penser à réactiver la restauration système lorsque le problème est résolu (si Windows ME/XP).
Penser à réactiver TeaTimer de Spybot-S&D (si désactivé précédemment).

A suivre (car il reste des programmes "superflus au démarrage" à supprimer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Jim Rakoto » 28 Fév 2005, 12:01

Salut,


Le problème vient de ceci :
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll,DllInstall

Pourrais-tu télécharger cet utilitaire Stardrek
http://www.niksoft.at/_data/startdreck.zip

Extraire archive (dézipper )
Puis lancer en cliquant sur icône Stardrek (avec les flammes)

Aller dans Config
Clic sur "Unmark all"
dans la fenêtre, cocher alors les cases :
registry : run keys
System/drivers : running processes
Clic sur OK
clic sur Refresh
Copier le log et le coller dans forum.

Ceci va faire apparaître une dll cachée, située en RunServicesOnce.

On verra alors pour nettoyage qui devra se faire en partie avec commande Dos et avec HijacThis

A+

[édité] NickW vient de répondre . C'est le nettoyage avec HijacThis
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

LOG 2

Messagede Invité » 28 Fév 2005, 19:09

Merci pour vos reponses,
J'ai fait ce que vous m'indiquer et je post le nv log. Or ma machine semble tjs etre faiblarde et en regardant du cote du gestionnaire de tache et des performance je remarque que je suis à 100%.
D'autre part un processus SynTPEnh PID 1448 CPU 99 util memoire 3160 ko qui si je le termine semble faire aller mieux la machine. je ne sais si cela est important mais je le signale.
???????

LOG AFTER

Logfile of HijackThis v1.99.1
Scan saved at 18:26:22, on 28/02/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\netdde.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\cisvc.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINNT\system32\GEARSEC.EXE
C:\WINNT\system32\hidserv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\NavNT\rtvscan.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\System32\ofps.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINNT\SYSTEM32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\SymTray.exe
C:\Program Files\NavNT\vptray.exe
C:\WINNT\system32\pctspk.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\system32\atiptaxx.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\OpenOffice.org1.0.1\program\OOoVirgTray.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\SpamPal\spampal.exe
C:\WINNT\system32\taskmgr.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - F:\drag\dr505\Program\web_ie.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\SymTray.exe SetReg
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\PINNACLE\PPE\ppe.exe
O4 - HKLM\..\Run: [OmniPage] E:\Program Files\Caere\OmniPagePro10.0\opware32.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Lamp] "C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe"
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\Symtrdr.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [PathOOOvirg] file:///C:/Program%20Files/OpenOffice.org1.0.1/program/OOoVirgTray.exe
O4 - Startup: Registration-Studio 8.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O12 - Plugin for .forte: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a936.g.akamai.net/7/936/537/0000 ... scan53.cab
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promot ... WebAAS.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: CWShredder Service - Unknown owner - E:\spysweeper350V194\CWShredder\CWShredder.exe (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\system32\GEARSEC.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: OmniForm Printer - Unknown owner - C:\WINNT\System32\ofps.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\SYSTEM32\ZONELABS\vsmon.exe

Invité
 

Messagede Invité » 28 Fév 2005, 19:14

Merci de votre reponse,

j'ai utilise le zip indique et je poste le log


StartDreck (build 2.1.7 public stable) - 2005-02-28 @ 18:50:00 (GMT +01:00)
Platform: Windows 2000 (Win NT 5.0.2195 Service Pack 4)
Internet Explorer: 6.0.2800.1106
Logged in as Administrateur

»Registry
»Run Keys
»Current User
»Run
*ctfmon.exe=ctfmon.exe
*H/PC Connection Agent="C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
*NBJ="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
*PathOOOvirg=file:///C:/Program%20Files/OpenOffice.org1.0.1/program/OOoVirgTray.exe
»RunOnce
»Default User
»Run
*internat.exe=internat.exe
»RunOnce
*^SetupICWDesktop=C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
»Local Machine
»Run
*vptray=C:\Program Files\NavNT\vptray.exe
*SymTray - Norton SystemWorks=C:\Program Files\Fichiers communs\Symantec Shared\SymTray.exe SetReg
*PCTVOICE=pctspk.exe
*SynTPLpr=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
*SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
*iTunesHelper=C:\Program Files\iTunes\iTunesHelper.exe
*QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
*NeroFilterCheck=C:\WINNT\system32\NeroCheck.exe
*PCLEPCI=C:\PROGRA~1\PINNACLE\PPE\ppe.exe
*OmniPage=E:\Program Files\Caere\OmniPagePro10.0\opware32.exe
*AtiPTA=atiptaxx.exe
*Zone Labs Client=C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
*TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
*HPDJ Taskbar Utility=C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb10.exe
*HP Lamp="C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe"
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*NoChange=1
*Installed=1
+MAPI
*NoChange=1
*Installed=1
»RunOnce
*SymTray - Norton SystemWorks=C:\Program Files\Fichiers communs\Symantec Shared\Symtrdr.exe
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
+0=<idle>
+8=<system>
+136=\SystemRoot\System32\smss.exe
+160=\??\C:\WINNT\system32\csrss.exe
+156=\??\C:\WINNT\system32\winlogon.exe
+208=C:\WINNT\system32\services.exe
+220=C:\WINNT\system32\lsass.exe
+380=C:\WINNT\system32\svchost.exe
+432=C:\WINNT\system32\svchost.exe
+516=C:\WINNT\system32\spoolsv.exe
+540=C:\WINNT\system32\netdde.exe
+592=C:\WINNT\System32\msdtc.exe
+700=C:\WINNT\system32\Ati2evxx.exe
+736=C:\WINNT\system32\cisvc.exe
+788=C:\Program Files\NavNT\defwatch.exe
+820=C:\WINNT\system32\GEARSEC.EXE
+832=C:\WINNT\system32\hidserv.exe
+852=C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
+876=C:\Program Files\NavNT\rtvscan.exe
+896=C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
+924=C:\WINNT\System32\ofps.exe
+956=C:\WINNT\system32\MSTask.exe
+1004=C:\WINNT\System32\tcpsvcs.exe
+1028=C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
+1064=C:\WINNT\SYSTEM32\ZONELABS\vsmon.exe
+1076=C:\WINNT\System32\WBEM\WinMgmt.exe
+1184=C:\WINNT\Explorer.EXE
+1208=C:\WINNT\System32\mspmspsv.exe
+1220=C:\WINNT\system32\svchost.exe
+1316=C:\Program Files\Fichiers communs\Symantec Shared\SymTray.exe
+1416=C:\Program Files\NavNT\vptray.exe
+1428=C:\WINNT\system32\pctspk.exe
+1448=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
+1548=C:\WINNT\system32\atiptaxx.exe
+1468=C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
+1504=C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
+1488=C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb10.exe
+1560=C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe
+1576=C:\WINNT\system32\ctfmon.exe
+1596=C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
+1620=C:\Program Files\OpenOffice.org1.0.1\program\OOoVirgTray.exe
+1452=C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
+1640=C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
+1656=C:\Program Files\Microsoft Office\Office\OSA.EXE
+1684=C:\Program Files\SpamPal\spampal.exe
+1340=C:\WINNT\system32\cidaemon.exe
+668=C:\WINNT\system32\cidaemon.exe
+580=C:\Documents and Settings\Administrateur\Bureau\spysweeper350V194\startdreck\StartDreck.exe
»Application specific
Invité
 

Messagede vince007 » 28 Fév 2005, 19:47

bonsoir marinihini.
je viens de jeter un oeil sur ton log.... c'est tout bonnement hallucinant le nombre de process qui tournent en mm temps sur ta machine :shock: 42!! ouch... j'espere que tu as une machine avec beaucoup de ram, et puissante aussi....
tu peux, a mon avis, juste en regardant rapidement en supprimer quelques un.

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
regarde dans les preferences de realplayer, et vire tout ce qui est mis a jour, message, etc, sinon facon radicale, tu peux supprimer me semble t'il le fichier "update_OB".

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb10.exe
c'est le driver de ton imprimante hewlett packard, ce driver sert a controle le niveau d'encre etc... tu peux le desactiver dans les options de ton imprimante.

C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe
c'est un driver pour ton scanner hewlett packard, si mes souvenirs sont bon, il te permet d'avoir un lancement rapide dans la barre des taches/monitoring, tu peux supprimer cette option dans les options de ton scanner.

C:\WINNT\system32\ctfmon.exe
voir le post sur ce site.

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
tu peux desactiver wcescomm, si c'est bien le gestionnaire de peripherique mobile microsoft (smartphone, pda, etc), et tu devras le lancer en manuel. là, il tourne en tache de fond pour que quand tu synchronises ton appareil, ca marche tt de suite.

C:\Program Files\OpenOffice.org1.0.1\program\OOoVirgTray.exe
bonne question....

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
a virer dans les options de demarrage et de mise a jour de acrobat reader.

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
a virer si tu n'utilises pas windvd avec tes touches de racourci clavier (menu options ou preferences).

C:\Program Files\Microsoft Office\Office\OSA.EXE
a virer dans office, voir post sur ce site.

C:\Program Files\SpamPal\spampal.exe
je ne connais pas ce soft, mais je viens de regarder sur le net (google est ton ami:)), c'est un soft antispam que tu places entre ta boite au lettre, et ton serveur de messages. a mon avis, inutile... et donc a virer si tu te sents le courage, et si tu as la possibilité de pouvoir verifier tes mails avant de les ouvrir avec ton logiciel de messagerie. (je verifie systematquement mes mails sur imp/free/fr, wanadoo et cegetel, avant de les rapatrier sur outlook. ca me prend du temps, mais maintenant, j'en suis arrivé a 8000 adresses indesirables, et jamais aucun virus malgré un ordinateur sans antivirus.

voilà, si tu peux supprimer deja ceux là... c'est a dire 10 taches.. ce sera quelques dizaines de mega et de ressources utilisés en moins sur ton pc.
http://www.zebulon.fr/articles/gestionnaire_taches.php
une toute petite liste des definitions des process... je cherche le lien du site qui en reference plus de 500 et te les explique
may the force be with u
vince007
 
Messages: 11
Inscription: 28 Fév 2005, 16:47
Localisation: blois

Messagede Jim Rakoto » 28 Fév 2005, 20:02

Salut,

cette ligne ne m'inspire pas :
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
en effet, la ligne exacte devrait être
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe

Ce processus n'est pas vraiment indispensable au départ.
Dans Spybot > Outils > démarrage système > tu pourrais décocher la case devant cette ligne. Il ne se lancera plus au démarrage.

avec ctrl+alt+del > tu peux aussi arrêter le processus. tu verras si la consommation processeur tombe

Maintenant ctfmon.exe peut être le signe de coolwebsearch (bien que sous la forme ctfmon32.exe.) mais chez toi la syntaxe n'est pas correcte dans HijacThis alors que Stardrek trouve un processus là où il doit être.

Tu pourrais télécharger cwshredder si ce n'est déjà fait , le lancer et dire s'il trouve qqchose.
http://www.intermute.com/spysubtract/cw ... nload.html

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede vince007 » 28 Fév 2005, 20:17

bonsoir,
voilà comme promis le lien.
http://www.answersthatwork.com/Tasklist ... sklist.htm
tu trouveras dans ce site en anglais a quoi correspondent toutes les taches que tu as en cours dans ton gestionnaire de tache.
bonne lecture.
may the force be with u
vince007
 
Messages: 11
Inscription: 28 Fév 2005, 16:47
Localisation: blois

Messagede Jim Rakoto » 28 Fév 2005, 20:38

re,

et si tu préfères le français, le travail de NIckW , à la traduction
http://assiste.com.free.fr/p/pacman/lis ... ameset.php

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede vince007 » 28 Fév 2005, 21:16

re.
tres bon a savoir, je me suis toujours demandé comment pouvaient faire les anglophobes....
et tres bon travail aussi.

cordialement.
may the force be with u
vince007
 
Messages: 11
Inscription: 28 Fév 2005, 16:47
Localisation: blois


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 31 invités

cron