( RESOLU) rapport HijackThis

[Mister H]

Merci à Charles Ingals pour votre aide précieuse.

 

Mister H enfin rentré du boulot (comme il est tôt ce soir, c'est rare).

 

Mister H

[Thanos]

salut

 

Bon rien de nouveau sur ce rapport hijackthis(le renommer permet parfois de mettre à jour des éléments cachés). Par contre, il y a un gros problème... Le pc est vierge de toute mise à jour En gros, c'est une porte ouverte à tous les malwares qui exploitent des failles de sécurité de Windows, et ils sont légion...

Un exemple? l'infection trouvée par Kaspersky : Exploit.HTML.Iframe.FileDownload (quelques infos ici => http://www.f-secure.com/v-descs/iframe.shtml)

Une vulnérabilité dans Internet Explorer qui a été corrigée par des mises à jour Windows Update....en 2002

Bon tu comprendras qu'il est plus qu'urgent de mettre ce système à jour!!

Le service Pack 1 et toutes les mises à jour critiques sont un minimum!!

 

En ce qui concerne ce que Kaspersky a trouvé: Il faut aller dans ta boite IncrediMail et vider la poubelle : ces alertes font référence à des fichiers qui se trouvent dans le dossier "Deleted Items".Il doit y avoir une icône "Elements supprimés" qu'il faut vider ( en images ici => http://www.kachouri.com/tuto/tuto-128-incr...ent-email.html)

Ce qui correspond sur ton disque dur au dossier suivant => C:\Documents and Settings\PATRICK HUBERT\Local Settings\Application Data\IM\Identities\{751119FB-D1E9-47F6-8046-6373E97CB3C9}\Message Store\Deleted Items => à vider.

Note: Le dossier "Local Settings" n'est pas visible par défaut; il faut modifier les options d'affichage des dossiers comme ceci pour le voir=>

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

Est ce que tu as installé de nouvelles applications récemment ?, ce problème de ralentissements est peut être lié à un programme qui consomme trop de ressources. Si tu le souhaite , on peux cocher certaines lignes dans hijackthis, car je voir que pas mal de choses inutiles se lancent au démarrage...

 

@+

 

PS: Priorité numéro un : mettre ton Windows à jour via Windows Update : Démarrer>Tous les programmes>Windows update.

Modifié le 22 novembre 2006 par charles ingals

[manly]

Merci Charles Ingals, je fais ça dans la journée.

 

Pour incrédimail, je pensais qu'il l'avait supprimé, je vais donc supprimé ses items puis suivrai la procédure de désinstalation du programme via http://www.incrediworld.com/article113.html, qui m'a permis de le désinstaller dans mon PC.

 

Pour les programmes installés récemment, je demanderai à mon mari ce soir.

 

Et oui, je suis d'accord avec toi pour cocher certaines lignes dans le hitjacthis, j'ai déjà désactivé certaines choses via tesgaz http://speedweb1.free.fr/frames2.php?page=service4, infos trouvée grâce à une réponse de Papo ici http://forum.zebulon.fr/index.php?showtopi...118&hl=lent.

Notamment les données pour mettre le portable en réseau.Mais cela n'a pas l'air d'être suffisant.

 

Je fais signe dès que les updates et la désinstalation d'incrédimail sont faits.

 

Je dois faire attention à ne pas charger sp2 car notre banque en ligne ne le supporte pas.

C'est pour cela que nous n'avons pas fait les mises à jour.

 

Cordialement,

Manly

Modifié le 22 novembre 2006 par manly

[Thanos]

salut

 

Je dois faire attention à ne pas charger sp2 car notre banque en ligne ne le supporte pas.

C'est pour cela que nous n'avons pas fait les mises à jour.

Tu veux parler de service bancaire en ligne??étrange!!Quel rapport avec le Sp2 ?

Ceci dit, si tu ne veux pas télécharger le SP2, il faudra configurer windows update pour ne pas télécharger automatiquement le SP2(sinon c'est ce qui arrivera!).

Passe par le panneau de configuration (accessible via le menu ‘Démarrer’)=> Performance et maintenance => Système=> Mises à jour automatiques.

Dans la fenêtre qui s'ouvre clique sur le bouton radio "Avertir en cas de nouvelles mises à jour , mais sans les télécharger".(et pas "installation automatique"!)

Clique sur "Appliquer" puis "ok".

Lorque de nouvelles mises à jour se présenteront,tu verras l'icône de windowsupdate apparaitre dans la barre des tâches et il te suffira de cliquer sur cette icône pour voir le détail des

hotfixes s'afficher dans une fenêtre : décoche la ligne qui fait référence au SP2!! et laisse les autres cases cochées.Crosoft qui aime bien son SP2 te collera systématiquement son pack dans les mises à jour à effectuer...

 

Ok,on va fixer quelques lignes sur ce rapport hijackthis, la conséquence c'est que certaines applications ne se lanceront plus au démarrage de Windows:ce sont évidemment des applications inutiles au bon fonctionnement du pc et que tu pourra lancer manuellement si tu en a besoin(ca liberera des ressources!)

Si les changement ne te conviennent pas ,tu peux revenir en arrière!

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O2 - BHO: IEHlprObj Class - {F62A47A7-4CA3-9D00-95A3-6724d43a9E8C} - LineAudio.dll (file missing)

 

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\compaq\cpqsetup\cpqset.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [RAM Idle] C:\Program Files\Customizer XP\RAM_2K.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

 

-vas dans le menu démarrer executer et tu tapes : services.msc

 

Cherche le service suivant:Boonty Games

Double clic dessus :dans le champs"Status du service" sélectionne "arrêté"

dans le champs"Type de démarrage" sélectionne"désactivé" puis "Appliquer" puis"ok"

 

Quitte les services.

 

-vas dans le menu démarrer executer et tu tapes :cmd

 

dans la boite de dialogue qui s'ouvre, tu copie/colles ceci:

sc delete Boonty => clique sur [entrée] Un message t'avertis du succès de l'opération.

 

*Elimine le dossier suivant puis vide la corbeille=>

 

C:\Program Files\Fichiers communs\BOONTY Shared

 

*Redémarre le pc et dis moi si il y a un changement.

*Si ca n'a pas été fait depuis longtemps, défragmente ton disque dur si besoin est.

*Nettoie ta base de registre avec Regseeker => http://telechargement.zebulon.fr/184-regseeker-145.html

son tutoriel => http://www.zebulon.fr/articles/regseeker-1.php

 

Tiens moi au courant

Modifié le 22 novembre 2006 par charles ingals

[manly]

Charles Ingals,

Pour Incredimail, il était bien supprimé par le panneau de configurtion/ajout suppression de programmes, mais j'ai trouvé plein de traces de ce programme dans la base de registre que j'ai supprimé grâce à ceci http://www.incrediworld.com/article116.html

 

Je continue le reste.

Manly

[manly]

Charles Ingals,

 

J'ai fixé dans HijackThis,

J'ai désactivé Boonty Games (c'est quoi au fait?)

Dans cmd j'ai ajouté à C:\>sc delete Boonty

réponse: [sC] OpenService FAILED 1060:

 

Le service spécifié n'existe pas en tant que service installé.

 

J'ignore cette commande et je redémare l'ordi

Et continue les autres commandes

 

A la fermeture de windowns, j'ai plusieurs affichages:

Point 32.exe ne peut se fermer>terminer maintenant> application dll échouée (je pense que c'est la souris sans fil microsoft)

dwwin.exe idem

juschet.exe idem

 

 

Au redémarage de l'ordinateur, j'ai une nouvelle icone dans mon bureau, avec un point d'interrogation jaune.

SDK analyseur Microsoft XML 4.0

Qu'est-ce?

 

J'ai CCleaner dans l'ordi de mon mari, il est suffisant ou je dois installer regseeker quand même?

Quelle est la différence entre les deux programmes?

 

A tout à l'heure

 

Manly

Modifié le 22 novembre 2006 par manly

[Thanos]

salut manly

 

J'ai désactivé Boonty Games (c'est quoi au fait?)

Dans cmd j'ai ajouté à C:\>sc delete Boonty

réponse: [sC] OpenService FAILED 1060:

 

Le service spécifié n'existe pas en tant que service installé.

 

Boonty, ce sont des jeux en ligne. Le problème, c'est que depuis peu,leur programme fait partie des indésirables à cause de ceci => http://www.castlecops.com/o23list-1744.html

If you don't speack english : D'une part leur programme n'est pas désinstallable via la procédure habituelle(ce qui n'est pas normal!), à savoir : passer par Ajouter/Supprimer des programmes (Panneau de Configuration) ; et d'autre part ils collectent tout un tas d'infos sur ton dos(même si c'est écrit dans leur "Disclaimer", personne ne les lit jamais...): âge, localisation géographique etc.. et ils communiquent en plus ton mail

Donc... spyware!

 

Pour virer cette cochonnerie , fais ceci :

 

* Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8FCDF9D9-A28B-480F-8C3D-581F119A8AB8}]

[-HKEY_CLASSES_ROOT\ CLSID\ {5F1ABCDB-A875-46C1-8345-B72A4567E846}]

[-HKEY_CLASSES_ROOT\ Interface\ {7B9A715E-9D87-4C21-BF9E-F914F2FA953F}]

[-HKEY_CLASSES_ROOT\ TypeLib\ {6D3F5DE4-E980-4407-A10F-9AC771ABAAE6}]

[-HKEY_CURRENT_USER\ Software\ IST]

[-HKEY_CURRENT_USER\ Software\ ISTbar]

[-HKEY_LOCAL_MACHINE\ Software\ ISTsvc]

[-HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ IST]

[-HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ ISTbarISTbar]

[-HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ ISTsvc]

[-HKEY_LOCAL_MACHINE\ Software\ y036]

[-HKEY_CURRENT_USER\Software\Boonty]

[-HKEY_CLASSES_ROOT\boontybox]

[-HKEY_CLASSES_ROOT\CLSID\{aa760512-9bd8-4b1b-9e7a-dd9bbe3cf119}]

[-HKEY_CLASSES_ROOT\Interface\{AAD65959-3923-4EF9-9B3A-6BAAE8E538E5}]

[-HKEY_CLASSES_ROOT\PandoraBoxCtrl.PandoraBoxCtrl]

[-HKEY_CLASSES_ROOT\TypeLib\{BB8AC401-701B-4ED1-96BB-B84A0FCF5874}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Boonty]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C23587D9-1415-4042-9B3D-43118A4334C7}_is1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{aa760512-9bd8-4b1b-9e7a-dd9bbe3cf119}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PandoraBoxCtrl.PandoraBoxCtrl]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PandoraBoxCtrl.PandoraBoxCtrl.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{BB8AC401-701B-4ED1-96BB-B84A0FCF5874}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C23587D9-1415-4042-9B3D-43118A4334C7}_is1]

-Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau"

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant: remove.reg

-Dans le champs"Type" en bas de page ,choisis: "tous les fichiers"

-ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitte le Bloc Notes.

 

=>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer:

si ce n'est pas le cas,reprends les informations ci dessus et recommence!

 

 

*Double clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

* Vas voir après ca dans "Ajouter ou Supprimer des Programmes"(Panneau de Configuration) et assure toi que le programme n'y figure plus.

 

A la fermeture de windowns, j'ai plusieurs affichages:

Point 32.exe ne peut se fermer>terminer maintenant> application dll échouée (je pense que c'est la souris sans fil microsoft)

dwwin.exe idem

juschet.exe idem

 

Point 32.exe=> Bizarre , je n'ai pas touché à cette ligne => O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe" il s'agit bien des pilotes de la la souris.

Est ce que tu l'a cochée toi même?

 

dwwin.exe=> c'est normal qu'il se lance ! dès qu'une application a planté, docteur Watson se pointe!

Plus d'infos ici (et comment le configurer)=> http://www.zebulon.fr/astuces/astuce-windows-176.html

Il est possible qu'il ait aussi eu du mal à se terminer!!

 

juschet.exe=> tu veux dire jusched.exe ? Ca correspond à cette ligne qu'on a coché :

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

c'est le logiciel Java qui fais une recherche de mise à jour : inutile car en passant par Le Panneau de configuration et en cliquant sur l'icône en forme de tasse, tu as possibilité de faire la mise à jour toi même: du coup c'est un processus de moins qui se lance et autant de mémoire conservée.

 

Redémarre ton pc et dis moi si les même problèmes se reproduisent .

 

Au redémarage de l'ordinateur, j'ai une nouvelle icone dans mon bureau, avec un point d'interrogation jaune.

SDK analyseur Microsoft XML 4.0

Qu'est-ce?

Ca ca vient d'une mise à jour automatique Windows...ca veut donc dire que tu as fait les mises à jour bonne chose! LE problème des mises à jour, c'est qu'il faut regarder le descriptif, sinon des mises à jour inutiles sont installées... SDK => software development kit (des outils pour les développeurs d'applications et la documentation des interfaces Windows). Tu dois pouvoir le supprimer en passant par Ajout/suppression de programmmes. N'oublie pas de rêgler les mises à jour comme noté plus bas, sinon tu vas toutes les télécharger!!

 

J'ai CCleaner dans l'ordi de mon mari, il est suffisant ou je dois installer regseeker quand même?

Quelle est la différence entre les deux programmes?

CCleaner est un nettoyeur , c'est un bon logiciel qui nettoie et le registre et les fichiers inutiles. Un bon tutoriel ici => http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

Quant à Regseeker , il est spécialisé dans le nettoyage du registre. Après avoir passé CCleaner et nettoyé le registre , puis que tu passes Regseeker; celui ci trouvera certainement autre chose à nettoyer!!

Aussi j'ai par ex deux ou trois nettoyeurs dont l'action conjuguée est plus efficace.

Tu peux l'essayer, ca ne consomme pas de ressources et ne prend pas de place.

 

@+

[Mister H]

Salut,

 

Voilà tout est fait.

 

Au démarage de l'ordi, avec ouverture de sesssion comprise,3 minutes pour être prêt à surfer, je pense que c'est bien non?

 

Juste deux petits trucs.

Le premier, juste à l'ouverture de windows xp, un écran noir,une grosse barre blanche dans le bas de mon écran, une seconde puis disparaît, puis à nouveau démarage de XP.

Le second, je n'ai plus mes fenêtes internet qui se mettent à la bonne grandeur, elles sont trop larges pour mon écran.(c'est sûrement un rien du tout à faire, mais faut le connaître )

 

Sinon, nickel

 

 

Un de ces quatres, je sens que je vais nettoyer mon pc, je viendrai sûrement vous embêter avec un rapport hijacthis.

 

Merci Charles Ingals,

j'ajoute le résolu au premier post.

 

 

Manly pour son Mister H

[manly]

Je vois que j'ai oublié de te répondre.

 

Oui c'est bien jusched.exe, erreur de frappe.

 

Ces problèmes là ont disparu.

Juste une ashDisp.exe qui ne parvient pas à se fermer lorsque j'ai éteint l'ordi.

 

Pas grave sans doute.

 

Encore bien merci.

[Thanos]

salut

 

Juste une ashDisp.exe qui ne parvient pas à se fermer lorsque j'ai éteint l'ordi.

Il s'agit d'Avast! Il existe une astuce pour accélérer la fermeture des applications lorsqu'on éteint le pc .Une modification à faire dans la base de registre.Elle se fait automatiquement grace à un logiciel nommé Zeb Utility qui regroupe les astuces d'optimisation les plus connues pour Windows , il est téléchargeable ici=> http://telechargement.zebulon.fr/204-zeb-utility-12.html

son tutoriel => http://www.zebulon.fr/articles/zebutility.php

 

Le second, je n'ai plus mes fenêtes internet qui se mettent à la bonne grandeur, elles sont trop larges pour mon écran.(c'est sûrement un rien du tout à faire, mais faut le connaître icon_lol.gif )

Jette un oeil ici => http://www.libellules.ch/resize.php

 

Je repasse pour quelques conseils de sécurité ...

Modifié le 23 novembre 2006 par charles ingals