pc pas très vif... un nettoyage s'impose

[poggus]

Bonjour à tous, je suis nouveau sur zebulon, mais c'est un site que je consulte régulièrement en cas de soucis.

Et justement cette fois j'ai besoin d'un petit coup de pouce avant de faire des bétises.

Alors j'ai Win Xp familiale... je pense etre assez protégé niveau sécurité, c'est un vieux pc à ma copine, infecté dans le passé j'ai mis des semaines à tous nettoyer convenablement, mais j'ai toujours l'impression qu'il ya des choses à régler..

J'ai adaware, spyspot, avast et kerio firewall, je fais du nettoyage avec ccleaner et regcleaner réguliérement, + defragmentation avec diskeeper lite.

Pour plus de précision je vous envoie mon rapport hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 18:09:16, on 07/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avast\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Avast\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\PROGRA~1\Avast\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\taskmgr.exe

C:\Documents and Settings\alexandra\Mes documents\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

R3 - URLSearchHook: (no name) - {5D0CF280-545A-4355-A761-C8745C4F7FE0} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pao.exe

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int7.exe

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{39AF91C3-4319-4FEE-BE0C-7C01FDA9FE71}: NameServer = 84.103.237.140 86.64.145.140

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast\Alwil Software\Avast4\ashServ.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

 

Il est déjà relativement propre...

Mon soucis majeur se situe au démarrage, une fois la session ouverte, il se passe bien 20 sec de gel à l'écran (les prog de démarrage comme l'antivirus... se lance lentement très lentement, en vérifiant les processus (avec bootvis et code stuff starter) il n'y a rien d'anormal au boot.. Après 30 sec, une fois l'écran d'ouverture de session passé, tout marche impec, mais bon c pas normal ce ralentissement au démarrage! J'ai jamais vu ça avant..

Ca fais des semaines que j'essaie par plein de moyen mais impossible d'y voir un quelconque changement.

Par ailleurs, le probleme est sans doute lié à ça aussi: j'utilise une connection ethernet, je suis chez neuftelecom en FAI, et lorsque je laisse mon cable ethernet branché (je suis sur un portable) au démarrage du pc, c'est encore deux fois plus long à démarrer!! à l'ouverture de session, l'icone d'avast reste avec le petit panneau "sens interdit" et aucun autre prog se lance et ceci pendant au moins 1 minute..

Je sais pas depuis quand c'est arrivé exactement tout ça, on a déménagé et pof ça déconne..; pourtant on a pas changé de FAI.

 

En tout cas si vous avez des idées pour mon problème de démarrage, ce serait sympa de les soumettre!

Au pire si vous avez des lignes à fixer dans mon rapport hijack, merci de me dire quoi.

à+

 

(Au fait c'est normal que j'ai deux Explorer.exe, j'ai fais l'astuce consistant à alléger le processus..)

 

pour parfaire les infos je vous joins des capture d'écran , de ce que me dit code stuff starter sur le boot:

 

et ce que j'ai comme service en lancement automatique:

 

et aussi petit pb dans le gestionnaire de périphériques,

c'est peut-etre un pb de pilote , dans l'observateur d'événement j'ai une erreur avec le pilote de port paralléle, l'observateur d'événement me dit: "Le service Pilote de port parallèle n'a pas pu démarrer en raison de l'erreur :

Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé. "

et j'ai un point d'exclamation est présent:

 

pourtant j'ai vérifié j'ai bien le pilote sur mon systeme (C:\WINDOWS\system32\drivers\Parport.sys...

je sais pas quoi faire pour résoudre ce pb , à mon avis mon pb de démarrage est forçément lié.

 

voli merci encore pour ceux qui répondront.

[gaucho]

Hello

 

Les lignes 16 me paraissent étranges. suis pas expert attends un avis plus éclairé

 

J'ai trouvé ça dans le tuto Hijack

 

Gaucho

 

 

O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)

 

 

Ce à quoi çà ressemble :

O16 - DPF: Yahoo! Chat - h ttp://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h ttp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

Que faire :

Si vous ne reconnaissez pas le nom de l'objet ou l'adresse à partir de laquelle il a été téléchargé, faites réparer par HijackThis. Si le nom ou l'URL contient des mots comme 'dialer', 'casino', 'free_plugin' etc., à coup sûr réparez.

SpywareBlaster de Javacool a une immense base de données des objets ActiveX malicieux qui peuvent être utilisés pour vérifier les CLSID. (cliquez droit dans la liste pour utiliser la fonction de recherche.)

Modifié le 9 mars 2007 par gaucho

[papo]

Salut,

Les lignes 017 et 018 sont suspectes;

Je te conseille donc defaire ceci :

http://forum.zebulon.fr/index.php?showtopic=83986

Puis tu posteras les rapports antivir et hijackthis ,là:

http://forum.zebulon.fr/index.php?act=SF&s=&f=51

[poggus]

j'ai fait un scan avec antivir en mode sans échec et il m'a détecté quelques petits fichiers (restore.ins, ...) , je les ai supprimés, sauf un "C:\ntload.bat", il me dit qu'il est infecté mais j'ai peur de faire une connerie en le supprimant, si c'est un fichier de démarrage...

Qu'en pensez vous , je peux le supprimer sans crainte?

 

Et aussi il a été incapable de scanner mon fichier d'échange, "pagefile.sys"...

si vous avez des conseil pour m'éclairer svp

 

le fichier ntload.bat (fichier de commande ms-dos) une fois édité avec note pad=le contenu, c'est pas triste!!

 

 

"MZP ÿÿ ¸ @ º ´ Í!¸LÍ!??This program must be run under Win32

$7 PE L xªc; à / X í Q .text X à.idata \ ` À &%Fïá£v|¸ÚqÛ.ü)}ŠÁZÆÐÔrÉ6—Ín³{Ì?¾ :ñúyäÖü]À~Âqx{̱­ÕÝ4áÉy<t-T‚Ýw{J²©™¿m±?7ú®§-¶ÒèôwÀcøDZ„ê¿*þgYÊÝ?_3:?D“°‹wÛ’B…u?¤ü/«³Œ”øšòs¿‡vߎ>ýì°%·å˜{?ny‚d…

ùrÇ(–QAÕY¯×â5µ5ßÃ=”–ˆf<ZÂÒ'¦‹­ÛHl¡9ü#4Ep犲Jxœ=<ÛY? ~ç_?

døíü“ÂÀÇ,[ØX¸H~Q÷ZÂãóœ#qªóZX,£?Ýd?Û>LC!Ÿµ4{áx¯iE$—1 ˜ÄI»4¬àæk¥À˜Iòšaýç\®w{‘èÞL »´·w!­HÅ4®Û ÖÜHl[olQ?’ ¶£XÂ}?HÒ

ü\£}`~ç0F·?K¼ TW¹?^ꔊ/?çt“ñ¯Þ¨uMHÎó£3JÏ| Î#»ú&º]þŠÌÃÅ6fZ’=—YNgYsìZ‡%@®Fຑú

ýôõ픸´·êߨDØ™û_éµÜ$Ìeã“ey1§»ã<'{œ8<Z;~{6j˜A6…‰òxñ1ìýÇå­²ˆ¬?¥Ù¡ ÙyøåÓPŠÜ™Kÿ¾¯Ù2ô•áØRø[;m²•Dm%"2ôe4cµ_Ñ#üÚy=’êø?¡±” äU¡ôúð«™ýÚr±è{6[-23c)6xÊ<\.®g/˜cUÝï,±A¶îÓ$ç?,â¯j?W{@E/ÏÐÄ×ÆéÇ$óC!÷}VŸµ“íÚ@ÞAáe·b•,i=£Ii,Ð\9QåÕfÁ:kE$PFLypWuÿ†mû`²ÁXÒf÷¸¬gÔè]ÔÀ'MÌ{‚Î

6¼^¬êQü”ˆÄ„I€s¯×^‡?‰m.©W|&</…à—Íï›IòÛ÷údùÍêÛ“b‹iÃEè[Clñ)n(lEíÿxVÆwú®w*2‡¨È¯¼äûGÒ€ÞRéÞsÍ?ú‘àέR‡YR?Ò©@:¸oïÎçèHæBConfused!¸Ý;9üT^ô €À,‚à"¹8c/z?¶ÕTm'FÂx×ñ!¶¯‹·#Å¢ÏܾÁ[GKƾïO0‘ÉóÉ^SÉÁdÁ¶yÇ·ÿ؈ PÂqÛY?ê?KNíü?RÕ?Ñ}ÔœA†pàóœ?qPX^a?\œlû‹†×gË•²¢¥˜ÿd,AìxrµæÊ?# ¦Å+´ÅU?\Î…w_w”ЕXÐ?èÛ?ìÜÝ\ˆHոˈIRJ6Y|¸]|Æ~œI?Cù¶a·ÄxhøÈMì?79§v3é4øF<r–¤?äUhS¶xò

€ç}7>‹ˆ'jŸÑXb“Ó±L¦Ó\D÷×SÖËÜùËžh ïÉ.ŸÚ9–úyл…H<Ç_?MåÊáÔBÑ#Èd?^1uq³5ûµ½¼›x»jŸþ3þº¯9y/`Ç.ö–úê®mh·fÿs‡Ý(ó‡ýAS¸\tdã²åX„KUG-Œ/Ð?OL‹J»¿Ô·¿ô ¼ñpöÿø ¡Pb»æk3Œo÷Ô9!š*eÏdÀ˜I‹NJ?åÂM‰òšäÎïüP=KôøE–B“,Ü?LREž¨¾PH•2ÓrøV¹?O‚¬mº:!?tK?0›mR°êý±ARn8#$·“¼-“^Š“ô?ah ›•Î¶ÃùoõI^L ˆßÑ©±9¶Ëº ¦ðô–?ôvãô<XÒvÃuXuçKÕYè"©qL@E”5˜î‡¨HbÂlŸxÈ=pÈ… g›XÛžzNY?oøA©T$ ßT½“2 ~ ^Òç?çœC7?]ÉãÝ

§&Jd­¯ØÖcàI?_\^ªýGø#?g` þ”ügP ÏÒ)åªÀêȪ¨Fë¾çWh`õ?Ö©..ìXͶOâF "

 

puis je l'effacer sans crainte???

 

De + , volà le rapport de Panda:

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\alexandra\Application Data\Mozilla\Firefox\Profiles\nxdlxj98.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\alexandra\Application Data\Mozilla\Firefox\Profiles\nxdlxj98.default\cookies.txt[.weborama.fr/]

Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\alexandra\Application Data\Mozilla\Firefox\Profiles\nxdlxj98.default\cookies.txt[statse.webtrendslive.com/]

Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\alexandra\Application Data\Mozilla\Firefox\Profiles\nxdlxj98.default\cookies.txt[.metriweb.be/]

Spyware:Cookie/TopRebates.com No Désinfecté C:\Documents and Settings\LocalService\Cookies\system@www.toprebates[2].txt

Adware:Adware/Tracking No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\2VGB2TQR\advertising[1].html

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\2VGB2TQR\casino-ico[1].bmp

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\2VGB2TQR\casino[1].bmp

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\2VGB2TQR\drugs[1].bmp

Adware:Adware/MyDailyHoroscope No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\2VGB2TQR\search.mnu[1].php

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\61A5SVE7\drugs-ico[1].bmp

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\61A5SVE7\fav[1].bmp

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\61A5SVE7\virus[1].bmp

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\EHKLYHEH\dating[1].bmp

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\EHKLYHEH\fav-ico[1].bmp

Adware:Adware/MyDailyHoroscope No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\EHKLYHEH\search.mnu[1].php

Adware:Adware/Exact.BargainBuddy No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KX0DMPKP\dating-ico[1].bmp

Adware:Adware/Midaddle No Désinfecté C:\WINDOWS\uninstaller.exe

 

 

Je fais quoi avec tout ça puisqu'il ne me désinfecte pas ...

 

tous ces fichiers n'avait pas été detecté pat antivir (meme mis à jour), ni meme par avast qui est installé, ni adaware, ni spysbot...

 

Je vais changer d'antivirus, installer kaspersky internet security 6.0, faire un scan et on verra bien..

 

par contre je suis très déçu d'avast, moi qui pensait être en sécurité...

 

Merci des infos pour faire un nettoyage efficace parce que les differentes solution, comme antivir ne me nettoie pas à fond la preuve.

[Médicus 33]

Et si tu faisais exactement ce que t'a indiqué papo ???

[poggus]

faut savoir!!!

sur le forum sécurité on me dit d'aller dans le forum software, et ici on me dit d'aller dans le forume sécurité....

Comme personne n'a de solution merci déffacer mes messages puisqu'apparemment ça n'interesse personne...

heureusement qu'il y a d'autres sites avec des forums vraiment efficace!!!

 

(je critique les utilisateurs du forum, pas les adminstrateurs qui eux sont efficaces!

 

le site reste très bon , mais le forum m'a beaucoup déçu, sur d'autres sites j'ai déjà eu des réponses concrétes à mes pb, autre que"met ton message là ou là", enfin bon...

 

Bonne continuation à ZEB quand meme

[papo]

Bonsoir,

sur le forum sécurité on me dit d'aller dans le forum software

Inutile de monter sur tes grands chevaux; si tu avais précisé ce point, dans ton 1er post, on aurait , alors, gagné du temps; au lieu de cela, voici ce que tu déclares :

c'est un vieux pc à ma copine, infecté dans le passé j'ai mis des semaines à tous nettoyer convenablement, mais j'ai toujours l'impression qu'il ya des choses à régler..

Il ne nous manque qu'une chose : la boule de cristal...

 

Ceci dit, tu déclares en outre:

Mon soucis majeur se situe au démarrage, une fois la session ouverte, il se passe bien 20 sec de gel à l'écran (les prog de démarrage comme l'antivirus... se lance lentement très lentement

Tu trouveras des pistes , ici :

http://www.d2i.ch/pn/depannage/lenteurs_ar...demarrages.html

 

Enfin, tu parles d'une erreur dans l'observateur d'évènement : pour faciliter les recherches donne le N° de l'erreur et la source.

Modifié le 10 mars 2007 par papo

[poggus]

j'ai reinstallé ma connexion internet en usb cette fois, et plus de lenteur au démarrage.

Je suis en dhcp, en ethernet je crois que c'est ça qui bloquait au demarrage (recherche d'ip..., comme je suis dégroupé et avec mon FAI je ne peux avoir d'IP fixe j'étais coinçé...), enfin je me comprend

 

j'ai fixé qq lignes dans mon rapport hjt, et là ça tourne bien (sachant que j'ai que 224 Mo de Ram, quand je disais vieux pc j'ai pas menti ,))

surtout j'ai changé d'antivirus (kaspersky IS 6.0 c'est de la bombe!!!)

 

et vive le torrent

 

je m'en vais vers d'autres forums,

 

Bonne continuation à tous

 

On peut considérer que le sujet est clos now.

 

merci qd meme à papo, et désolé de m'être emporté

[Médicus 33]

Re

et vive le torrent icon_wink.gif///// sujet est clos

Tu reviendras ....