Une aide pour rapport Hijackthis

Résolu
titi 6247 Messages postés 32 Statut Membre -  
titi 6247 Messages postés 32 Statut Membre -
Bonjour,

Afin d'aider à résoudre un problème de lenteur sur un PC d'un vieil ami, j'aimerai vous soumettre un rapport afin que vous puissiez me dire quelles sont les actions à effectuer si besoin est.

Je vous remercie par avance.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:28:38, on 15/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Neuf\Kit\9props.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\Mon compte\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com/?SearchSource=10&ctid=CT2542115
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Aide à la navigation SFR - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\Neuf\Kit\SFRNavErrorHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: (no name) - {66886C4D-B307-4ECA-A228-52CA9B9851A4} - (no file)
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Connexion SFR 9props.exe] "C:\Program Files\Neuf\Kit\9props.exe" /trayicon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.canalplay.com
O15 - Trusted Zone: *.canalplusactive.com
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Service Google Update (gupdate1c99beae9563b6) (gupdate1c99beae9563b6) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Service CANALPLAY - Canal+ Distribution - C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7318 bytes

Encore merci pour lui.

4 réponses

  1. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut

    Le rapport est OK, mais bon Hijackthis ne montre pas grand chose. On va donc faire un diagnostique plus poussé :

    --> Télécharge >> OTL << sur ton bureau.

    --> Fait un double-clic sur l'icône d'OTL.exe pour le lancer

    /!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

    --> Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

    --> Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Output" (en haut à droite) la case "minimal Output" soit cochée.

    --> Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

    netsvcs
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles


    --> Cliques sur l'icône "Analyse" (en haut à gauche) .

    --> Laisse le scan aller à son terme sans te servir du PC

    --> A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

    --> Héberge les rapports sur ci-joint puis poste les liens de ceux-ci

    --> Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

    A++
    0
    1. titi 6247 Messages postés 32 Statut Membre
       
      Bonjour et merci de la réponse rapide,

      Je fais tout ça, et, je reviens vers vous.
      Cordialement,
      titi6247
      0
    2. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
       
      Okay,

      A tte
      0
    3. titi 6247 Messages postés 32 Statut Membre
       
      Voilà, c'est fait, mais, comment héberger les rapports ?
      Dois-je faire un copier coller, ou autre façon ?

      Merci de votre réponse,
      @+
      0
    4. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
       
      Salut

      Tu te rends sur ci-joint.fr puis tu upload les deux fichiers. Le site va te fournir un lien que tu devra copier dans ta prochaine réponse.

      A+
      0
    5. titi 6247 Messages postés 32 Statut Membre
       
      Re bonjour,

      Je ne connaissais pas ce site, merci.

      Donc, les voici :
      http://www.cijoint.fr/cjlink.php?file=cj201006/cijVKBV18h.txt

      http://www.cijoint.fr/cjlink.php?file=cj201006/cijVKBV18h.txt

      Merci d'avance pour votre action à venir.
      0
  2. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut

    --> Relance Hijackthis, clique sur do a system scan only, coche les lignes suivantes et clique sur Fix Checked

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com/?SearchSource=10&ctid=CT2542115
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
    O3 - Toolbar: (no name) - {66886C4D-B307-4ECA-A228-52CA9B9851A4} - (no file)
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')


    --> Redémarre le pc.

    Tiens moi au courant :)

    A+
    0
    1. titi 6247 Messages postés 32 Statut Membre
       
      Bonsoir,

      Merci pour cette réponse, je fais cela ce soir, et, je viendrai mettre la réponse, ce soir ou demain matin.
      Bonne soirée.
      0
    2. titi 6247 Messages postés 32 Statut Membre
       
      Re Bonsoir,

      Voilà, c'est fait. Cela a l'air de faire fonctionner plus rapidement le PC.
      Après un autre essai demain matin, je reviendrai soit pour mettre résolut, soit pour demander s'il y a une suite.

      Que dois-je faire de "OTL" installé sur le bureau ? Puis-je le supprimer tel quel ou, y a t-il une façon de supprimer ?
      Les fichiers générés par hijackthis et OTL peuvent l'être aussi je pense.

      En attendant, merci, et, à demain.
      Cordialement.
      0
  3. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut,

    On va pouvoir finaliser :

    1: Supress'tools

    Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

    ▶ Télécharge Supressstools de NicoVA sur ton Bureau

    Sous XP : Double-clique sur Supressstools .exe
    Sous Vista : Fais un clic droit sur Supressstools .exe et sélectionne "Exécuter en tant qu'administrateur"

    ♠ Clique sur Recherche.

    ♠ Clique su rSuppression pour finaliser.

    ♠Copie et colle le rapport qui apparaitra

    ♠ Clique sur Désinstaller.

    Note: Le rapport (Report.txt) se trouve à la racine de votre disque dur (C:\)

    ------------------------------------------------------------------------

    2: Ccleaner

    ▶ Télécharge Ccleaner

    ▶ Tutorial ICI

    ------------------------------------------------------------------------

    3: Purger la restauration système

    ♠ Sous XP

    → Désactiver la restauration du système

    ♦ Clic droit sur le Poste de travailPropriétésOnglet Restauration du système ⇒ coche la case Désactiver la Restauration du système sur tous les lecteursAppliquerOk

    → Ré-activer la restauration du système

    Suis le même chemin ⇒ décoche la case Désactiver la Restauration du système sur tous les lecteursAppliquer

    ♠ Sous Vista/Seven

    → Désactiver la restauration du système

    ♦ Clique droit sur OrdinateurPropriétésParamètres système avancés ⇒ onglet Protection du Système
    Décoche tes partitions, un message de confirmation va apparaître clique sur Désactiver la protection du systèmeAppliquerOK.

    → Ré-activer la restauration du système

    ♦ Suis le même chemin , décoche Désactiver la protection du système
    Appliquer
    OK.

    Redemare le PC

    ------------------------------------------------------------------------

    4: Créer un point de restauration

    Sous XP et VISTA

    ------------------------------------------------------------------------

    6: Mises à Jour importantes

    ♠ Pour Windows

    ♦ Rends toi ICI

    ♦ Ferme toutes les applications en cours

    ♠ Télécharge Update Checker

    ♠ Voici un tutorial pour t'aider

    Oublie pas de poster les rapports !

    ++
    0
    1. titi 6247 Messages postés 32 Statut Membre
       
      Bonjour,

      Ok, je fais tout cela, et, je reviens mettre les rapports.

      Bonne fin de journée.
      0
    2. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
       
      Dac'

      ++
      0
    3. titi 6247 Messages postés 32 Statut Membre
       
      Re bonjour,

      Tout à été fait. Seul, les mises à jour de Framework ont échouées.

      Le seul rapport est celui ci.
      http://www.cijoint.fr/cjlink.php?file=cj201006/cijy4M8P5D.txt

      Dites moi si je peux désinstaller Update checker

      Cordialement.
      0
  4. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut

    Parfait. Tu peux au contraire garder Update Checker, il te donnera les mises à jour importantes à faire pour ton système et tes logiciels !

    Il me reste plus qu'a te souhaite un bon surf et surtout prudence sur le net ! Les bebettes grouilles ...

    Je passe ton sujet en résolu ;-)

    A+

    NicoVA
    0
    1. titi 6247 Messages postés 32 Statut Membre
       
      Bonsoir,

      Un grand merci à vous, c'est toujours agréable de venir sur ce site,
      Merci aussi de la part de mon vieil ami (80 ans)

      Bonne soirée à vous, et, je garde donc Update Checker

      Cordialement,
      titi6247
      0