Petit soucis (Log HiJackThis).

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Petit soucis (Log HiJackThis).

Messagede xDragonfirex » 01 Juin 2008, 19:17

Bonjour,

Je vais vous exposer mon problème:
Il y a un mois de ça environ, j'ai eu un petit soucis, étant assez énervé du résultat, j'ai un peu abusé du "Fix checked" de HiJackThis, et j'ai fait quelques autres bétises.
Tout cela a rendu mon pc inutilisable (redémarrage en boucle).
J'ai donc utilisé la restauration de système HP (désinstalle tout les programmes), mais il y a un hic: le problème n'est toujours pas réglé.
Ma connexion internet est très ralentie, et sur certains jeux, mon ping a augmenté de 20 voire 30.
Il y a aussi quelques fonctionnalités qui sont bloquées.

Bref, j'ai essayé divers antivirus en ligne, mais sans résultat.
Pour ce qui est de mes propres protections, Antivir, Spybot et AdAware n'ont rien trouvé non plus.

Malgrés les aides trouvés sur internet, je n'arrive pas à savoir quels programmes sont néfastes.

J'en appelle donc à votre savoir pour bien vouloir m'aider.
Je vous post donc mon log HiJackThis en esperant que vous pouvez m'aider:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:18, on 01/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Valve\Steam\Steam.exe
C:\PROGRAM FILES\FRAPS\FRAPS.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Fraps] C:\PROGRAM FILES\FRAPS\FRAPS.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - S-1-5-18 Startup: AutoTBar.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: AutoTBar.exe (User 'Default user')
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A80A1354-CBA3-40E1-B66B-3965CD18CC9C}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5749 bytes






Merci de votre compréhension,
xDragonfirex.

PS: Je tiens à préciser que ces 3 lignes ne se suppriment pas en faisant "Fix Checked":
O4 - S-1-5-18 Startup: AutoTBar.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: AutoTBar.exe (User 'Default user')
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')

PPS: J'ai oublié, toutes les 7minutes environ, mon pc rame (ou lag) énormément, cela dure environ 5sec, mais je sais pas ce que c'est.
On dirait qu'un processus se met en marche durant ce cours laps de temps.
Ma souris aussi fait des siennes: les boutons de celle-ci s'actionnent tout seul (curseur qui bouge, clique droit, clique gauche, molette).
Si vous pouvez faire quelque chose. :(
xDragonfirex
 
Messages: 18
Inscription: 01 Juin 2008, 19:04

Messagede nickW » 01 Juin 2008, 23:50

Bonsoir,

Rien de particulier dans ce log HijackThis, si ce n'est l'absence d'un vrai pare-feu, et la non-mise à jour de Java de Sun.


Peux-tu essayer d'arrêter via le Gestionnaire de tâches le processus Steam.exe?
Les ralentissements (toutes les 7 minutes) se produisent-ils encore?


Que dit l'Observateur d'événements?
Démarrer--->Paramètres--->Panneau de configuration--->Outils d'administration--->Observateur d'événements
Voir dans Application, Sécurité et Système s'il y a des icônes rouges ou jaunes.
sur une journée seulement

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede xDragonfirex » 02 Juin 2008, 15:08

Il y a beaucoup d'erreurs et d'avertissements dans "Application" (les sources sont "Userenv", "Application Error" et "Application Hang").
Une de chaque dans "Système" (sources: "Dhcp" et "W32Time").
Aucune dans "Sécurité".

Pour ce qui est de "Steam", il s'agit d'une plate-forme de jeu (celle de Valve): jusqu'à présent elle ne m'avait posée aucun problème, donc je ne pense pas que les ralentissements viennent de là.

PS: J'ai pourtant mis Java à jour (ça a l'air de faire comme Flash Player: mis à jour, mais aucune réaction, comme si je ne l'avais pas mis). :|
xDragonfirex
 
Messages: 18
Inscription: 01 Juin 2008, 19:04

Messagede nickW » 02 Juin 2008, 22:31

Bonsoir,

Peux-tu envoyer la liste des messages de l'Observateur d'événements (rubrique Applications) de la journée d'aujourd'hui:

Dans l'Observateur d'événements,
(accessible via Démarrer--->Paramètres--->Panneau de configuration--->Outils d'administration--->Observateur d'événements)
sélectionner Application, dans le menu (en haut) cliquer sur l'icône Image représentant une page imprimée avec une flèche -> (Exporte la liste), donner un nom explicite au fichier et cliquer sur enregistrer.

Ouvrir le fichier texte ainsi enregistré dans le Bloc-notes.
Repérer les lignes concernant aujourd'hui.
Supprimer de ces lignes toutes celles dont le type est "Informations".
Copier en réponse les lignes restantes (Erreurs et avertissements de la journée d'aujourd'hui seulement).

(attention: les logs ainsi créés sont cumulatifs, ils sont souvent très gros, et peuvent afficher des informations d'il y a plusieurs mois! Il est très important de n'envoyer que ce qui concerne aujourd'hui).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede xDragonfirex » 02 Juin 2008, 23:03

Aujourd'hui il n'y a eu aucune erreurs ou avertissements.

Donc, je post à tout hazard ceux des précédentes journées:

Type Date Heure Source Catégorie Événement Utilisateur Ordinateur
Avertissement 01/06/2008 01:36:21 Userenv Aucun 1517 SYSTEM HP_Propriétaire
Erreur 31/05/2008 20:18:08 Application Error Aucun 1000 N/A HP_Propriétaire
Erreur 31/05/2008 20:15:26 Application Error Aucun 1000 N/A HP_Propriétaire
xDragonfirex
 
Messages: 18
Inscription: 01 Juin 2008, 19:04

Messagede nickW » 02 Juin 2008, 23:09

Re-

Peux-tu copier le détail de ces trois messages d'erreur/avertissement:

Ouvrir une fenêtre du Bloc-notes (Démarrer---->Exécuter---->taper notepad.exe puis cliquer sur OK).

Dans l'Observateur d'événements,
(accessible via Démarrer--->Paramètres--->Panneau de configuration--->Outils d'administration--->Observateur d'événements)

Faire un double clic sur le premier message; dans la nouvelle fenêtre cliquer sur le 3ème bouton sur la gauche (sous les deux boutons représentant des flèches), ce qui va copier le contenu des Propriétés de l'événement dans le Presse-papiers.
Aller dans la fenêtre du Bloc-notes, et appuyer simultanément sur les touches Ctrl et V, ce qui va coller le contenu du Presse-papiers.

Recommencer cette manip pour les deux autres messages.

Copier en réponse le contenu de la fenêtre du Bloc-notes.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede xDragonfirex » 02 Juin 2008, 23:33

Type de l'événement : Avertissement
Source de l'événement : Userenv
Catégorie de l'événement : Aucun
ID de l'événement : 1517
Date : 01/06/2008
Heure : 01:36:21
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : HP_Propriétaire
Description :
Windows a sauvegardé le Registre utilisateur HP_Propriétaire alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé.

Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.

Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.





Type de l'événement : Erreur
Source de l'événement : Application Error
Catégorie de l'événement : Aucun
ID de l'événement : 1000
Date : 31/05/2008
Heure : 20:18:08
Utilisateur : N/A
Ordinateur : HP_Propriétaire
Description :
Application défaillante firefox.exe, version 1.8.20080.40413, module défaillant npswf32.dll, version 8.0.22.0, adresse de défaillance 0x000579a2.

Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
Données :
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 66 69 72 ure fir
0018: 65 66 6f 78 2e 65 78 65 efox.exe
0020: 20 31 2e 38 2e 32 30 30 1.8.200
0028: 38 30 2e 34 30 34 31 33 80.40413
0030: 20 69 6e 20 6e 70 73 77 in npsw
0038: 66 33 32 2e 64 6c 6c 20 f32.dll
0040: 38 2e 30 2e 32 32 2e 30 8.0.22.0
0048: 20 61 74 20 6f 66 66 73 at offs
0050: 65 74 20 30 30 30 35 37 et 00057
0058: 39 61 32 0d 0a 9a2..





Type de l'événement : Erreur
Source de l'événement : Application Error
Catégorie de l'événement : Aucun
ID de l'événement : 1000
Date : 31/05/2008
Heure : 20:15:26
Utilisateur : N/A
Ordinateur : HP_Propriétaire
Description :
Application défaillante firefox.exe, version 1.8.20080.40413, module défaillant unknown, version 0.0.0.0, adresse de défaillance 0x0296ee10.

Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
Données :
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 66 69 72 ure fir
0018: 65 66 6f 78 2e 65 78 65 efox.exe
0020: 20 31 2e 38 2e 32 30 30 1.8.200
0028: 38 30 2e 34 30 34 31 33 80.40413
0030: 20 69 6e 20 75 6e 6b 6e in unkn
0038: 6f 77 6e 20 30 2e 30 2e own 0.0.
0040: 30 2e 30 20 61 74 20 6f 0.0 at o
0048: 66 66 73 65 74 20 30 32 ffset 02
0050: 39 36 65 65 31 30 0d 0a 96ee10..
xDragonfirex
 
Messages: 18
Inscription: 01 Juin 2008, 19:04

Messagede nickW » 02 Juin 2008, 23:58

Re-

1/ Peux-tu envoyer un autre log:

Navilog1 (de IL-MAFIOSO), Option 1
Télécharger Navilog1 par un clic droit sur le lien ci-dessous:
http://pagesperso-orange.fr/il.mafioso/ ... vilog1.exe
Enregistrer le fichier sur le Bureau.
Fermer toutes les applications actives (comme traitement de texte, navigateur).
Faire un double clic sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, l'outil s'exécutera automatiquement.
(Si ce n'est pas le cas, faire un double clic sur le raccourci Navilog1 présent sur le Bureau).

Suivre les indications affichées.
Sur le menu principal, choisir l'option 1 et valider.
(ne pas choisir les options 2,3 ou 4 sans mon avis/accord)

Attendre jusqu'au message :
*** Analyse Termine le ..... ***
Appuyer sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Note: Dans le Bloc-notes, vérifier dans le menu Format (en haut) que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier sous le nom navi1.txt
Copier l'intégralité du contenu de la fenêtre du Bloc-notes en réponse.
Fermer le Bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)


2/ Un problème est signalé dans Firefox, module npswf32.dll (Flash Player)

As-tu lu ce document de jpj:
2. Le plugin a effectué une opération illégale (Flash Player)
http://www.geckozone.org/forum/viewtopi ... 247#378247

Quelles sont les extensions installées dans Firefox?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede xDragonfirex » 03 Juin 2008, 09:02

1) Quand j'ai lancé le téléchargement, Antivir a trouvé 2 virus (DR/TR.reboot.F.94 et Navilog.exe)... :?

2) Je vais essayer de mettre ma carte graphique à jour.
Sinon, j'ai Google ToolBar d'installé.

PS: Comme d'habitude, en installant les mises à jour, j'ai divers problemes:
http://img525.imageshack.us/img525/1091 ... re1ez9.jpg
http://img525.imageshack.us/img525/7447 ... trean5.jpg
En faisant la mise à jour, j'ai ça:
http://img258.imageshack.us/img258/1707 ... re3dm1.jpg

PPS: Windows Update me dit d'installer cette mise à jour: Windows XP Service Pack 3 (KB936929)
Cependant, c'est en installant celle-ci que mon pc redémarrait en boucle, et donc que je n'avais plus accés à celui-ci.
Que faire ?
xDragonfirex
 
Messages: 18
Inscription: 01 Juin 2008, 19:04

Messagede nickW » 03 Juin 2008, 14:52

Bonjour,

Il faut arrêter Antivir Guard avant de lancer Navilog1.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: MSN [Bot] et 5 invités