Demande d'analyse d'un log HijackThis

Fermé
tenkan - 20 mars 2004 à 20:28
 tenkan - 22 mars 2004 à 10:04
Bonjour,

J'ai un problème sur mon PC dont je n'arrive pas à identifier l'origine. Certain processus tels Avpm.exe, qui n'a rien d'un virus me bouffe parfois une grande partie de mon CPU. Ce qui fait que j'ai énormément de mal a faire tourner plusieurs applications en même temps. Pouvez vous jeter un oeil sur la liste de hijackthis. Il est probable que le problème vienne de là. Merci d'avance.

Logfile of HijackThis v1.97.7
Scan saved at 20:17:45, on 20/02/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\UTILITAIRES D ANALYSE PC\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\PROGRAM FILES\UTILITAIRES PC\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\UTILITAIRES D ANALYSE PC\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.superwebsearch.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.superwebsearch.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.superwebsearch.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\utilitaires internet\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program Files\UTILITAIRES INTERNET\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\utilitaires internet\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\UTILITAIRES D ANALYSE PC\Zone Labs\ZoneAlarm\zlclient.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\utilitaires internet\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\utilitaires internet\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\utilitaires internet\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\utilitaires internet\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\UTILITAIRES INTERNET\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\UTILITAIRES INTERNET\FlashGet\jc_link.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\PROGRA~1\UTILIT~2\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7BAACEC-6C50-4781-BC64-46ACD8A8D4CE}: NameServer = 212.151.136.246 130.244.127.162
A voir également:

8 réponses

GomJabbar Messages postés 1326 Date d'inscription vendredi 9 janvier 2004 Statut Contributeur Dernière intervention 28 octobre 2007 150
21 mars 2004 à 00:02
Bonjour,
2 choses attirent l'attention :
1. NPROTECT.EXE appartient à Norton Utilities, ce qui correspond peut-être à un reste d'installation précédente d'une démo. Risque de contrariété avec Kaspersky.
2. Superwebsearch. De mémoire je crois qu'il s'agit du troyen Lop.

Je te conseille d'installer Spybot + mise à jour et de faire tourner.

A+

- L'éternité c'est très long, surtout vers la fin. -
- Woody Allen -
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
21 mars 2004 à 09:21
salut
attention plusieurs anti virus a la fois=plantage
0
Salut,

D'abord merci de m'avoir répondu.

J'ai donc viré tout ce qui parassait suspect.
Une question! Est ce normal que lorsque je suis connecté à internet les deux petits écrans de connexion (en bas a droite) soient éclairés alors même que je ne surfe pas? C'est ce qui me fait dire que des envoies d'informations s'effectuent à mon insu et que je dois encore avoir quelques troyens ou mouchards dans mon système. Y- a t'il une autre explication?

Par ailleurs, j'ai effectivement Norton utilities (je crois qu'on peut difficilement s'en passer). Mais je ne le lance pas au démarrage. Et pourtant, il s'affiche dans les processus et je n'arrive pas à virer "NPROTECT.EXE". J'ai aussi Kapersky, Spybot, et ad-aware.

Encore mille fois merci pour ton aide.

Tenkan

"Si tu te dis que c'est trop tard pour entreprendre quelque chose, fais le de suite." Proverbe japonais
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
21 mars 2004 à 10:33
si tu est connecte meme si tu ne surf pas la connexion reste etablie
a tu un pare feu
passe un coup anti trojan
http://www.emsisoft.net/fr/ anti trojan
0
Salut,

J'ai effectivement un pare feu, Zone alarm. Serait-il possible que les deux ecrans de ma connxion soient éclairés a cause de Zonz alarm? Et que pense tu de NPROTECT.EXE que je n'arrive pas à éliminer des processus?

Merci encore.

Tenkan
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
21 mars 2004 à 12:12
tu n arrive pas a l enleve des processus ou tu arrive a l enlever
mais il revient a chaque demarrage
0
GomJabbar Messages postés 1326 Date d'inscription vendredi 9 janvier 2004 Statut Contributeur Dernière intervention 28 octobre 2007 150
21 mars 2004 à 12:25
Suite...
Concernant l'icône du systray, il est normal qu'elle soit allumée en permanence quand il y a du trafic (surf, téléchargement) et qu'elle clignote de temps à autre quand il n'y a pas de trafic. Là c'est simplement le réseau qui écoute qui est connecté, entre autres les FAI quand il faut attribuer une adresse IP lors d'une requête de connexion.
Concernant NPROTECT, il oblige Kaspersky à travailler pour rien même s'il n'est pas lancé au démarrage. Tu peux l'éradiquer en supprimant toutes ses entrées dans la base de registre.
Concernant l'élimination des spyware, j'insiste sur Spybot et son complément SpywareBlaster qui s'occupe plus spécialement de la base de registre.

A+

- L'éternité c'est très long, surtout vers la fin. -
- Woody Allen -
0
je suis rassuré quand a l'icône du systray.

A propos de NPROTECT.EXE, je ne peut tout simplement pas l'enlever et aucune boite de dialogue ne s'ouvre lorsque j'essaie de le désactiver. Si NPROTECT lance kapersky je devrai normalement pouvoir m'en rendre compte, non?

J'ai lancé et updaté spybot qui ne m'a rien trouvé si ce n'est quelques cookies. Je vais essayé de télecharger le logiciel dont tu me parles. Par contre, je ne sais abslument pas comment faire pour supprimer NPROTECT de la base de regsitre.

En tout cas merci pour tes précieux conseils. C'est génial!
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
21 mars 2004 à 13:17
salut gomjabbar
je ne connait pas ce log SpywareBlaster
efficase
0
GomJabbar Messages postés 1326 Date d'inscription vendredi 9 janvier 2004 Statut Contributeur Dernière intervention 28 octobre 2007 150
21 mars 2004 à 18:22
Salut,
le lien vers le site de Spywareblaster se trouve sur la fenêtre principale de Spybot, bas de page.
Son boulot est très spécialisé. Il scanne la base de registre par rapport à sa liste de clés (à mettre à jour régulièrement) et ensuite il tourne tout seul, empêchant l'écriture de ces clés.
Pour lui comme pour tous, son efficacité dépend du nombre de définitions qu'il sait reconnaître.
Il faut se dire que l'arme absolue n'existe pas mais une combinaison de moyens défense et une vigilance personnelle suffisent.

A+

- L'éternité c'est très long, surtout vers la fin. -
- Woody Allen -
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
21 mars 2004 à 19:16
ok merci
0
Ca y est problème réglé. J'ai supprimé pas mal de choses a partir de l'utilitaire de configuration systéme\services. Une manière efficace de supprimer le lancement de programmes indésirables. Hijack this\config\Misc tools m' a donné un certain nombre d'information sur tous les processus en cours et qui sont plus ou moins invisibles avec le gestionnaire des tâches.

Mon PC ne rame plus, les logiciels s'ouvrent beaucouip plus vite, l'explorateur aussi. C'est super.

Merci encore pour toute ces info
0