[résolu] Demande d'analyse et de petites explications

[Gof]

Bonjour à tous, je suis en XP SP1. J'ai procédé à un pré-nettoyage et mon système semble sain question infection, rien n'a été détecté à part quelques cookies. (grand merci à Charles Ingals qui s'était occupé de moi la première fois!). J'ai un souci de stabilité de l'explorer pour l'instant non résolu et un assistant ajout de matériel qui se déclenche à chaque démarrage et sans raison. J'essaie d'optimiser un petit peu tout ça. Mon FAI est alice en adsl, et j'ai également un kit de connexion libre wanadoo d'installé (pour un autre logement). J'utilise firefox, et IE uniquement pour les MAJ win. Pourriez vous jeter un coup d'oeil sur mon rapport svp ? J'apprends, et j'ai pas mal de questions.

 

Logfile of HijackThis v1.99.1

Scan saved at 08:30:57, on 18/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\dllhost.exe

C:\WINDOWS\system32\slserv.exe

C:\a\Kill Process\KillProcess.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\LVComsX.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\a\Folding2\FAH504-Console.exe

C:\a\Folding2\FahCore_65.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\a\Folding2\EMIII\EMIII.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aliceadsl.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: symbole '#'.

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\a\SPYBOT~1\SDHelper.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\a\Spybot - Search & Destroy\TeaTimer.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Open With JPEGCompress - res://C:\Program Files\JPEGCompress\owjc.dll/CONTEXT_HANDLE.HTM

O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O9 - Extra button: Alice ADSL - {509996F3-3960-479D-857F-34FAC7DB949E} - http://www.aliceadsl.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.aliceadsl.fr

O15 - Trusted Zone: http://download.windowsupdate.com

O15 - Trusted Zone: http://*.windowsupdate.com'>http://*.windowsupdate.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130160010867

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.clubic.com/components/Metaboli.ocx

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137788134032

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A5173EA8-1337-4BAB-A67E-198C9919D9CC} - http://213.11.100.7/websetup/websetup2.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

C:\WINDOWS\explorer.exe 2 processus en cours. Quand il plante, il arrive parfois quand il le veut bien qu'il se relance tout seul. J'ai alors 2 processus en même temps dans le gestionnaire des tâches. Il m'arrive d'arrêter le deuxième manuellement, mais il revient au plantage d'après. Plantage qui n'est parfois même pas visible.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aliceadsl.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens Je n'ai pas compris la cohérence de ces lignes. Ok, ce sont les pages de démarrage et de recherche d'IE, mais comment peut on avoir plusieurs pages de démarrage? Une nouvelle ne devrait pas écraser l'ancienne ? Je n'ai rien touché ici pour l'instant. Utilisant Firefox, pourquoi je n'ai pas de lignes N ?

O1 - Hosts: symbole '#'. Cette ligne avait intrigué Charles dans un premier temps, je lui montré à sa demande le contenu du host et il m'a dit que c'était bon. Petit passe avec trendmicro cwshredder tout de même. Je ne comprends pas la présence de cette ligne si tout est normal ?

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\a\SPYBOT~1\SDHelper.dll Les BHO, ce n'est que IE...? Si c'est le cas, je fixe tout, non ? Juste la première, pourquoi "no file" ?

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx Idem? IE n'étant que pour les MAJ, je peux tout fixer sans déconfort ?

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\a\Spybot - Search & Destroy\TeaTimer.exe Je n'ai pas touché à AliceSav. Mais je ne crois pas en avoir besoin pour la connexion ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present Normal, j'ai verrouillé la page de démarrage dans les options IE.

O8 - Extra context menu item: Open With JPEGCompress - res://C:\Program Files\JPEGCompress\owjc.dll/CONTEXT_HANDLE.HTM

O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm Pas de soucis avec les éléments additionnels à priori. Je peux tout fixer je pense

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O9 - Extra button: Alice ADSL - {509996F3-3960-479D-857F-34FAC7DB949E} - http://www.aliceadsl.fr (file missing) (HKCU) Idem, puisque tout est IE, je fixe ? Par contre, le pourquoi du comment du "file missing"...?

O14 - IERESET.INF: START_PAGE_URL=http://www.aliceadsl.fr Pas de soucis, étant mon FAI, correct ?

O15 - Trusted Zone: http://download.windowsupdate.com

O15 - Trusted Zone: http://*.windowsupdate.com De tête, je crois vaguement me souvenir que c'est moi qui les avait rajouté. Donc à priori pas de soucis... Le "*" devant windowsupdate pose question, non ? O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130160010867

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.clubic.com/components/Metaboli.ocx

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137788134032

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A5173EA8-1337-4BAB-A67E-198C9919D9CC} - http://213.11.100.7/websetup/websetup2.cab Juste le dernier, je ne sais pas à quoi il correspond.

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) Je ne sais pas quoi en penser...

O20 - AppInit_DLLs: MsgPlusLoader.dll Je ne pense pas qu'il y ait de soucis, j'ai messenger!plus sans les sponsors.

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Les services... Ayant Antivir, mais souhaitant garder sous la main AVG et EWIDO pour des scans en manuel de temps en temps, je les fixe ? IdriverT.exe celui-là m'interpelle beaucoup et je ne sais pas quoi en penser. Infection ? Serait-ce à cause de lui que j'ai l'assistant ajout de matériel à chaque démarrage ? J'ai fait l'essai pourtant en le décochant dans MsConfig et en redémarrant en sélectif, l'assistant apparaissait quand même... LEXBCES.EXE Si je le fixe, problèmes d'imprimantes en perspective ? slserv.exe le modem intégré au portable je crois. A garder ? vsmon.exe Je vois que c'est ZA, mais ça sert à quoi ?

 

Voilà, j'ai été long quand même...j'en suis désolé. Est ce que j'ai écrit des conneries ? Je sais que vous avez beaucoup de boulot ici, alors priorité aux grosses infections et désinfections des membres Zebulon. Merci par avance de vos réponses.

Modifié le 11 mars 2006 par Gof

[tornado]

Salut Gof,

 

Je jette un coup d'oeil à ton rapport , puis j'éditerais pour les lignes à fixer.

 

Pour C:\WINDOWS\explorer.exe, c'est le processus de Windows qui te permet d'accéder au poste de travail, au bureau etc...

 

--> http://www.commentcamarche.net/processus/explorer-exe.php3

 

Bizarre quand même ton problème, un petit scan en ligne de panda ne ferait pas de mal.

 

 

-Avant toute manip avec Hijackthis, désactive le teatimer de Spybot car il empêche les modifications du registre

 

 

-Tu peux ensuite peux fixer ces lignes:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aliceadsl.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

--> Si tu n'utilises presque plus IE, tu peux fixer ces lignes les "yeux fermés"

 

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll ---> ligne à ne pas fixer si tu veux garder la protection en temps réel de Spyware guard. Je te conseillerais de désactiver manuellement cette protection, la protection en temps réel d'antivir fait largement son boulot.

 

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

 

--> pas de problème

 

 

O8 - Extra context menu item: Open With JPEGCompress - res://C:\Program Files\JPEGCompress\owjc.dll/CONTEXT_HANDLE.HTM

O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O9 - Extra button: Alice ADSL - {509996F3-3960-479D-857F-34FAC7DB949E} - http://www.aliceadsl.fr (file missing) (HKCU) ---> le file missing est un bug d'Hijackthis... chez moi j'ai cette mention devant les lignes d'avast alors que la protection en temps réel est bel et bien active.

 

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130160010867

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.clubic.com/components/Metaboli.ocx

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137788134032

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A5173EA8-1337-4BAB-A67E-198C9919D9CC} - http://213.11.100.7/websetup/websetup2.cab

---> contrôles activex à fixer sans problèmes.

 

O20 - AppInit_DLLs: MsgPlusLoader.dll --> messengerplus au démarrage, inutile donc à fixer

 

 

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

 

---> désactive le service suivant en allant dans "Démarrer" --> "exécuter" ---> tape "services.msc"

(sans les guillemets)

Recherche le service SmartLinkService (SLService) puis double clique dessus. Dans types de démarrage, choisis "désactivé". Puis valide. Ligne à ne pas fixer, car cela ne désactivera pas le service

 

 

 

 

Quelques remarques

 

-Tu as deux antivirus installés sur ton pc, désinstalle donc en un via "ajouter/supprimer des programmes". Tu dois savoir que 2 av provoque des conflits.

Je te conseille de garder Antivir, car Avg n'est réputé pas très efficace.

 

 

-Ne surtout pas fixer cette ligne:

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

 

Cela pourrait t'empêcher d'utiliser Msn messenger

 

- Pour le service suivant:

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

 

- Je pense que tu peux le désactiver, mais attend l'avis d'un conseiller en sécurité.

 

- Même chose pour le service de ton imprimante LexBce Server (LexBceS) qui sert à configurer celle-ci selon les imprimantes du réseau Lexmark

 

- Tu peux garder Ewido sans problèmes mais il faut que tu fasses les mises à jour manuellement.

 

- Le service de ZA que tu as mentionné permet de lancer ce pare-feu au démarrage de Windows. A ne surtout pas désactiver, le firewall est essentiel pour ta sécurité (beaucoup plus important que l'av, les anti-spywares ...)

 

 

- Après avoir fait tout ça, redémarre puis poste un nouveau rapport Hijackthis.

Modifié le 18 février 2006 par tornado

[Gof]

ok, merci tornado et félicitations au fait à la promotion des junior-sécu !

Modifié le 18 février 2006 par Gof

[Gof]

Exuse moi, juste quelques confirmations :

 

je fixe celles là

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aliceadsl.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O8 - Extra context menu item: Open With JPEGCompress - res://C:\Program Files\JPEGCompress\owjc.dll/CONTEXT_HANDLE.HTM

O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O9 - Extra button: Alice ADSL - {509996F3-3960-479D-857F-34FAC7DB949E} - http://www.aliceadsl.fr (file missing) (HKCU)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130160010867

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.clubic.com/components/Metaboli.ocx

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137788134032

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A5173EA8-1337-4BAB-A67E-198C9919D9CC} - http://213.11.100.7/websetup/websetup2.cab

O20 - AppInit_DLLs: MsgPlusLoader.dll

 

je désinstalle AVG via le panneau de config, je désactive smartlink vie services/msc, je désactive la O2-BHO de spywareguard. C'est bien ça ? Désolé de demander confirmation. Et Ewido, je le laisse tel quel en O23 ? je désactive en service et je ferai mes maj en manuel, non ?

 

J'ai mis un peu de temps à répondre, désolé, je n'avais pas vu que tu avais posté comme tu as édité ton premier message. Merci tornado

[tornado]

Re,

 

 

Pour Ewido, oui, tu peux désactiver le service correspondant. Cela ne nuira pas au fonctionnement d'Ewido, mais désactivera les màj automatiques (qui disparaissent normalement 15 jours après l'installation).

 

Sinon c'est ok pour les lignes à fixer

 

Fais le scan de panda ---> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (marche uniquement avec IE). Puis poste le rapport du scan et le nouveau rapport hijack.

 

A+

Edit : Salut Sacles et merci de ton intervention ,

 

Donc Gof, fais plutôt comme te le conseille sacles ou alors garde le service d'Ewido activé...

 

Sinon sacles, pour les services InstallDriver Table Manager (IDriverT) et LexBce Server (LexBceS), peut-on les désactiver sans problèmes ?

Modifié le 18 février 2006 par tornado

[Sacles]

Bonjour,

 

Je me permets d'intervenir (mais je laisse le soin à tornado de continuer avec le rapport HiJackThis).

 

Et Ewido, je le laisse tel quel en O23 ? je désactive en service et je ferai mes maj en manuel, non ?

Le service doit être activé pour mener les mises à jour à bon terme.

 

Personnellement, comme je n'utilise Ewido que pour des scans, je désactive le service qui lui est associé (et je le place en manuel) . Quand je veux scanner, je réactive le service, j'effectue la mise à jour et ensuite le scan.

 

************************************************

 

Si, après nettoyage, tu as encore des problèmes avec explorer, je t'invite à un petit tour ici. L'idéal serait évidemment de trouver la cause de ces problèmes.

 

Des réglages liés à la base de registre peuvent s'effectuer via l'utilitaire Zeb-Utility. Celui relatif à explorer se retrouve dans l'onglet "Performances".

 

Cordialement.

Modifié le 18 février 2006 par Sacles

[Sacles]

Re,

 

LexBce Server est lié à une imprimante Lexmark et est nécessaire pour démarrer le service de Spouleur d'impression.

 

IDriverT.exe est lié à un logiciel de Macrovision.

 

Ce sont deux services légitimes (voir ici et ici ).

 

Cordialement.

Modifié le 18 février 2006 par Sacles

[Gof]

Reçu Sacles ! merci de ton information. Scan Panda en cours, il y en a pour un moment j'ai l'impression. J'ai bien compris la manip pour Ewido, je réactive le service quand je veux l'utiliser, et je fais la MAJ.

 

Peux tu me dire pourquoi j'ai un O1 puisqu'il ne semble pas "mauvais".

 

J'avais déjà essayé Zebutility et son option "rendre l'explorateur plus stable", mais ça n'avait pas été concluant. A l'issue du scan, j'essaierai l'astuce que tu as donnée en lien. A moins que ce ne soit celle la justement qui soit intégrée à Zebutility?

 

Et en O15, le deuxième, le " * " devant microsoft update ne signifie rien de particulier ?

 

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

Suite à un logiciel que je n'utilise plus. Je peux désactiver sans soucis dans services j'imagine ?

 

Et toujours en attendant Panda, où trouvez-vous les infos sur les activesX pour savoir si elles sont légitimes ?

 

merci !

 

EDIT: pour le O1, ne serait-ce pas le service Host de SSD ? Et pour le service de macrovision IDriverT.exe, en faisant une recherche googl, je vois que cela a un rapport avec la protection dvd. C'est par défaut ce service ? Je n'ai pas souvenir avoir activé quelque chose qui ait un rapport avec cela. D'autant que je ne rippe et ne grave pas.

Modifié le 18 février 2006 par Gof

[Gof]

Me revoila, j'ai mis un peu de temps, l'explorer.exe a lanté plusieurs fois au démarrage.

 

Le rapport Panda

 

 

Incident Statut Analyse

 

Adware:adware/sidesearch No Désinfecté C:\Documents and Settings\GOF\Application Data\Lycos

Adware:adware/exact.searchbar No Désinfecté Registre Windows

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\GOF\Application Data\Mozilla\Firefox\Profiles\nk8c0qqn.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Casalemedia No Désinfecté C:\Documents and Settings\GOF\Application Data\Mozilla\Firefox\Profiles\nk8c0qqn.default\cookies.txt[.casalemedia.com/]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\GOF\Application Data\Mozilla\Firefox\Profiles\nk8c0qqn.default\cookies.txt[]

Outil indésirable:Application/Pskill.A No Désinfecté C:\WINDOWS\RESTORE.INS[PSKILL.EXE]

Outil indésirable:Application/Pskill.A No Désinfecté C:\WINDOWS\system\RESTORE.INS[PSKILL.EXE]

 

Le nouveau rappport HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 16:17:49, on 18/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\dllhost.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\LVComsX.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\MSNMES~1\msnmsgr.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O1 - Hosts: symbole '#'.

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O14 - IERESET.INF: START_PAGE_URL=http://www.aliceadsl.fr

O15 - Trusted Zone: http://download.windowsupdate.com

O15 - Trusted Zone: http://*.windowsupdate.com

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Moi qui croyait que c'était sain, le scan Panda m'a remis en place Le pskill n'est même pas dans une restauration en plus, non ? Je n'ai pas eu ZA au démarrage là, j'ai du le lancer manuellement : où je me suis planté ? Que penses tu de l'EDIT de l'avant dernier post ? Merci de ta patience tornado

[tornado]

Re gof,

 

 

Faut pas s'énerver comme ça

 

Nan sérieusement, je ne vois pas pourquoi ZA ne s'est pas lancé au démarrage.

-Va dans "démarrer" --> "exécuter" --> tape "msconfig" (sans les guillemets)

-Dans l'onglet "démarrage", vérifie que la case correspondant à Zonealarm est bien cochée. Si ce n'est pas le cas, coche la, valide puis redémarre.

 

Panda a en effet quelques malwares.

 

On va les supprimer manuellement:

 

-Redémarre en mode sans échec

-Vide le dossier suivant

 

C:\Documents and Settings\GOF\Application Data\Lycos

 

 

 

Puis télécharge Jv16 powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

Va dans l'outil registre

Dans "outils" --> choisis "chercheur de registre"

 

- Dans "entrer les mots à rechercher", tape "searchbar" (sans les guillemets). Valide puis sélectionne toutes les branches à analyser.

- Clique sur "démarrer" puis supprime la ou les clés trouvées.

 

- Tu peux ensuite nettoyer globalement ton registre, toujours avec Jv16 mais selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

Bon sinon Pskill.exe est présent dans ta restauration système... Désactive la selon ce tuto (puis réactive là comme cela est mentionné) : http://www.libellules.ch/desactiver_restauration.php

 

-Redémarre, fais un nouveau scan avec panda puis poste le rapport

 

 

 

Sinon pour la première ligne 01, franchement je vois pas... je pense que tu peux la fixer sans problèmes vu que tu n'as jamais modifier ton fichier host ... attend l'avis d'un conseiller en sécurité.

 

Pour les services, les sites genre castecops, bleepingcomputer ont souvent des définitions différentes.

Ce n'est pas très important de toute façon, désinfecte ton pc, après on pourra en discuter

Modifié le 18 février 2006 par tornado