Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

HijackThis demarrage lent - activité disque dur continue

Toutatis

Par Toutatis
dans Analyses et éradication malwares

 Partager

Messages recommandés

Toutatis Member

Toutatis

Posté(e)
Posté(e)

Bonjour,

 

Depuis quelques jour, mon PC est trés lent au démarrage, :P puis il y a des acces disque trés fréquent meme lorsque l'ordi est au repos.

Spybot, adaware, CWShredde, A2Squared et Kaspersky ne trouvent rien.

 

J'utilise Firefox et Thunderbird dernieres versions et WinXP est à jour.

 

Voici le log d'HijackThis , qu'en pensez vous ?

 

Merci d'avance pour votre aide :P

 

Logfile of HijackThis v1.99.1

Scan saved at 08:51:19, on 22/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\CAPRPCSK.EXE

C:\Program Files\looknstop\_looknstop.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\LVComsX.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis 1.99.1\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\SnagIt 7\SnagItBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\SnagIt 7\SnagItIEAddin.dll

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\looknstop\looknstop.exe" -auto

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE

O4 - Global Startup: Fenêtre d'état Canon LBP-800.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Subscribe in default RSS reader - C:\Documents and Settings\Moi\Application Data\RssBandit\iecontext_subscribefeed.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://freebox.free.fr/

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL,C:\PROGRA~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Diskeeper\DkService.exe

tornado Full Patch Member

tornado

Posté(e)
Posté(e)

Bonjour Toutatis,

 

 

Ton rapport Hijackthis ne montre aucun signe d'infection ...

 

Ton problème n'est probablement pas d'origine infectieuse. Tu vas quand même t'en assurer en scannant ton système avec ces différents scans :

 

===============================================================

 

* Scan Av en ligne : Panda Activescan

 

- Vérifie, pour commencer, qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie

Paramétrer Internet Explorer

 

- Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html

 

- Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin)

 

- Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_morte)

 

 

* Scan anti-rootkit : Blacklight

 

Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) :

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

========================================================

 

N'oublie pas de mettre dans ta prochaine réponse :

 

- Le rapport de Panda (activescan.txt)

- Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt)

 

 

 

A+ :P

Toutatis Member

Toutatis

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci de cette réponse.

 

Dans le log d'HijackThi je vois cette ligne C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe , or j'ai desinstallé l'anti-spy de M$ puisque il était périmé :P

 

J'ai fait les différents controles proposés .

Voici les fichiers générés

suite à cela les fichiers infectés ont ete supprimés :P

 

Mais la lenteur au demarrage persiste. :P

 

 

Merci encore :P

 

=================

Activescan.txt

 

 

Incident Status Location

 

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Moi\Application Data\Mozilla\Firefox\Profiles\26w4e0ya.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\Moi\Application Data\Mozilla\Firefox\Profiles\26w4e0ya.default\cookies.txt[.tradedoubler.com/]

Virus:W32/Bagle.pwdzip Disinfected C:\Documents and Settings\Moi\Application Data\Thunderbird\Profiles\3l3gwqk7.default\Mail\Local Folders\Junk[Valentyne.zip]

Virus:W32/Bagle.pwdzip Disinfected C:\Documents and Settings\Moi\Application Data\Thunderbird\Profiles\3l3gwqk7.default\Mail\Local Folders\Junk[Nathaniel.zip]

Virus:W32/Bagle.pwdzip Disinfected C:\Documents and Settings\Moi\Application Data\Thunderbird\Profiles\3l3gwqk7.default\Mail\Local Folders\Junk[Edwarde.zip]

Virus:W32/Bagle.pwdzip Disinfected C:\Documents and Settings\Moi\Application Data\Thunderbird\Profiles\3l3gwqk7.default\Mail\Local Folders\Junk[Ann.zip]

Virus:W32/Bagle.pwdzip Disinfected C:\Documents and Settings\Moi\Application Data\Thunderbird\Profiles\3l3gwqk7.default\Mail\Local Folders\Junk[Jeffrye.zip]

Virus:W32/Bagle.pwdzip Disinfected C:\Documents and Settings\Moi\Application Data\Thunderbird\Profiles\3l3gwqk7.default\Mail\Local Folders\Junk[Cybil.zip]

Virus:W32/Bagle.pwdzip Disinfected C:\Documents and Settings\Moi\Application Data\Thunderbird\Profiles\3l3gwqk7.default\Mail\Local Folders\Trash[Valentyne.zip]

Virus:W32/Bagle.pwdzip Disinfected C:\Documents and Settings\Moi\Application Data\Thunderbird\Profiles\3l3gwqk7.default\Mail\Local Folders\Trash[Nathaniel.zip]

Virus:W32/Bagle.pwdzip Disinfected C:\Documents and Settings\Moi\Application Data\Thunderbird\Profiles\3l3gwqk7.default\Mail\Local Folders\Trash[Edwarde.zip]

Virus:W32/Bagle.pwdzip Disinfected C:\Documents and Settings\Moi\Application Data\Thunderbird\Profiles\3l3gwqk7.default\Mail\Local Folders\Trash[Jeffrye.zip]

Virus:W32/Bagle.pwdzip Disinfected C:\Documents and Settings\Moi\Application Data\Thunderbird\Profiles\3l3gwqk7.default\Mail\Local Folders\Trash[Ann.zip]

Virus:W32/Bagle.pwdzip Disinfected C:\Documents and Settings\Moi\Application Data\Thunderbird\Profiles\3l3gwqk7.default\Mail\Local Folders\Trash[Cybil.zip]

Potentially unwanted tool:Application/Leaktest.A Not disinfected C:\Documents and Settings\Moi\Mes documents\AG\LooknStop_205\LeakTest\leaktest.exe

Virus:W32/Netsky.B.worm Disinfected C:\Documents and Settings\Moi\Mes documents\Site_\Mailbox[party.txt.exe]

Virus:W32/Netsky.B.worm Disinfected C:\Documents and Settings\Moi\Mes documents\Site_\Mailbox[creditcard.pif]

Virus:W32/Netsky.B.worm Disinfected C:\Documents and Settings\Moi\Mes documents\Site_\Mailbox[swimmingpool.zip][swimmingpool.txt.scr]

Potentially unwanted tool:Application/KillApp.B Not disinfected C:\EasyDivX\softs\ck.exe

Hacktool:Hacktool/NMap Not disinfected C:\WINDOWS\Downloaded Installations\{38B83FD2-06C3-44C3-A7DB-0B4653FB6BDF}\NMapWin.msi[unk_0052][CCGNU32.dll1]

 

 

===================

 

fsbl-20060822230811.log

 

08/23/06 01:08:11 [info]: BlackLight Engine 1.0.46 initialized

08/23/06 01:08:11 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/23/06 01:08:11 [Note]: 7019 4

08/23/06 01:08:11 [Note]: 7005 0

08/23/06 01:08:18 [Note]: 7006 0

08/23/06 01:08:18 [Note]: 7011 1500

08/23/06 01:08:18 [Note]: 7026 0

08/23/06 01:08:18 [Note]: 7026 0

08/23/06 01:08:36 [Note]: FSRAW library version 1.7.1019

08/23/06 01:12:49 [Note]: 2000 1006

08/23/06 01:13:56 [Note]: 7007 0

Modifié par Toutatis
tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

 

 

Il reste encore 2-3 bricoles ... (Not disinfected) Ne pas se soucier de [C:\Documents and Settings\Moi\Mes documents\AG\LooknStop_205\LeakTest\leaktest.exe] qui est légitime.

 

Tu peux supprimer ce fichier infectieux :

 

C:\WINDOWS\Downloaded Installations\{38B83FD2-06C3-44C3-A7DB-0B4653FB6BDF}\NMapWin.msi

 

et vider la corbeille.

 

 

Sinon, il y a un autre fichier sur lequel j'émet quelques doutes : C:\EasyDivX\softs\ck.exe

Fais-le donc analyser par l'intermédiaire de ces 2 sites :

=> http://virusscan.jotti.org/ (clique sur Parcourir , sélectionne ck.exe, clique sur Ouvrir, puis sur Submit )

=> http://www.virustotal.com/en/indexf.html (clique sur Parcourir , sélectionne ck.exe, clique sur Ouvrir, puis sur Send )

 

Tu obtiendras 1 rapport pour chaque site. Fais un copier/coller de chacun de ces rapports dans ta prochaine réponse.

 

 

A+ :P

 

 

PS:

Mais la lenteur au demarrage persiste. icon_evil.gif

 

Est-ce que ce problème est survenu suite à 'linstallation d'un logiciel par exemple ?

Modifié par tornado

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...