Aide optimisation pc (resolu)

[rakiri rtm]

Bonjour,

 

Il y a 2 ou 3 jours j'ai demande de l'aide sur le forum securite pour desinfecter mon pc de vundoo et j'ai reuusi à l'irradiquer avec l'aide de charles ingals; Mon pc avait retrouver sa vitesse d'avant l'infection jusqu'à ce matin: Depuis le redemarrage il se fige pendant quelques secondes et la charge cpu pendant ce temps est à 100% ou il plante carrement. Jai fait un scan complet avec avast, spywareblaster et AVG et je n'ai rien trouver de suspect donc je pense que ce n'est pas un probleme de virus(je me trompe peut-etre).Depuis l'assainissement de mon pc j'ai installer que 2 nouveaux logiciel à savoir Sygate Personal firewall et AVG Anti-spyware. Je vous poste ci-joint mon rapport HijackThis!

Merci d'avance!

 

Logfile of HijackThis v1.99.1

Scan saved at 14:43 , on 11/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Lexmark 2400 Series\ezprint.exe

C:\WINDOWS\system32\lxcrcoms.exe

C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\Plugins\RazaWebHook.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WireLessMouse ] C:\Program Files\Multimedia Combo Set\MouseDrv.exe

O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Program Files\Multimedia Combo Set\PS2USBKbdDrv.exe

O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"

O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"

O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [HD Tune] C:\PROGRA~1\HDTUNE~1\HDTune.exe

O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [sideWinderTrayV4] C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase9602.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jin...indows-i586.cab

O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll

O20 - Winlogon Notify: pmnnmll - C:\WINDOWS\

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: lxcr_device - - C:\WINDOWS\system32\lxcrcoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Modifié le 16 mars 2007 par rakiri rtm

[pear]

Bonjour,

 

Pour alléger le démarrage de Xp sur un Pc sain,donc à vérifier(Scans antipestes):

Dans le registre,si vous défragmentez régulièrement:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Dfrg\BootOptimizeFunction.

Dans le panneau de droite, faites un clic droit de la souris sur la valeur " Enable " et choisissez " Modifier ". Remplacez la valeur Y par N.

Ensuite:

1)Démarrer->Exécuter->Msconfig->Démarrage

Supprimer TOUT ,sauf Parefeu,Antivirus,Résidents antimalwares(TeaTimer par exemple)

 

2)Optimiser les services en désactivant ceux qui sont inutiles ou dangereux.

Pour cela,suivez ce lien:http://speedweb1.free.fr/frames2.php?page=service4

 

3)Nettoyer Xp:Vider les fichiers temporaires(Ccleaner), supprimer les fichiers inutiles(EasyCleaner),les clés obsolètes(Jv16)

 

4)Défragmenter

[oGu]

Salut!

 

Plusieurs choses: il semble qu'il reste un bout d'infection de Vundo:

 

 

O20 - Winlogon Notify: pmnnmll - C:\WINDOWS\

 

Cette ligne aussi me semble louche:

 

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -

 

Si un expert passe par là...

 

De plus,Windows defender et AVG antispyware font le même travail, il faut donc faire un choix: j'imagine que tu as la version gratuite d'AVG, donc sa protection temps réel est limitée.Autant la désactiver tout de suite pour éviter les conflits avec Windows defender.Tu pourras conserver AVG pour faire des scans réguliers.Fais ceci:

 

-"Démarrer", "éxecuter"

-tape "services.msc" sans les guillemets puis "ok"

-Dans la liste cherche et double-clique sur "AVG antispyware guard"

-Dans le menu déroulant de la fenêtre qui apparait, sélectionne "désactivé".

-redémarre.

 

Par ailleurs, as-tu désactivé le pare-feu de Windows après avoir installé Sygate??

 

Petit détail: spywareblaster n'est pas un scanner, mais il "vaccine" ton pc contre des malwares.C'est donc normal qu'il ne t'ai rien trouvé vu qu'il ne cherche rien !

 

Dernière chose: tu utilises un logiciel de peer to peer (shareaza), ce qui te mets en danger (toutes sortes de virus transitent par le peer to peer) et en contradiction avec la charte de ce forum.

 

http://forum.zebulon.fr/index.php?showtopic=85544

 

http://forum.zebulon.fr/index.php?act=SR&f=40

Modifié le 11 mars 2007 par ogu

[Gof]

Bonjour rakiri rtm, pear, ogu

 

Les bons conseils de Pear sont à appliquer sur un pc sain, on va s'en assurer. Bon coup d'oeil ogu pour vundo. La 016 est légitime.

 

rakiri rtm, refais la manipulation suivante pour voir ce qu'il en est de ce vundo, voir s'il ne s'agit que d'un reste ou s'il est de retour.

 

Stp poste le rapport suivant>

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse
  

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\Plugins\RazaWebHook.dll

Petites observations sur les logiciels de peer-to-peer. Pas de morale, juste de l'info.

• Les logiciels de P2P (parfois) mais surtout l'utilisation que l'on en a (majorité des cas) sont les principaux vecteurs d'infection ! Quelques topics pour t'en convaincre :
   
   
  
• Liste de clients P2P infectés
  
• le P2P et ses conséquences et Le crack et ses conséquences par Tesgaz
  
• Le danger des cracks par Malekal morte
   
   
  Les infections véhiculées par le p2p sont bien réelles. A titre d'exemple, le ver Worm.Win32_Sumom-A est un ver de messagerie instantanée et de réseaux peer-to-peer qui se place notamment dans le dossier incoming afin d'être expédié à un maximum de personnes.
   
  -> Worm.Win32_Sumom-A.
  

Modifié le 11 mars 2007 par Gof

[rakiri rtm]

Bonjour rakiri rtm, pear, ogu

 

Les bons conseils de Pear sont à appliquer sur un pc sain, on va s'en assurer. Bon coup d'oeil ogu pour vundo. La 016 est légitime.

 

rakiri rtm, refais la manipulation suivante pour voir ce qu'il en est de ce vundo, voir s'il ne s'agit que d'un reste ou s'il est de retour.

 

Stp poste le rapport suivant>

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse
  

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Petites observations sur les logiciels de peer-to-peer. Pas de morale, juste de l'info.

• Les logiciels de P2P (parfois) mais surtout l'utilisation que l'on en a (majorité des cas) sont les principaux vecteurs d'infection ! Quelques topics pour t'en convaincre :
  
• Liste de clients P2P infectés
  
• le P2P et ses conséquences et Le crack et ses conséquences par Tesgaz
  
• Le danger des cracks par Malekal morte
  Les infections véhiculées par le p2p sont bien réelles. A titre d'exemple, le ver Worm.Win32_Sumom-A est un ver de messagerie instantanée et de réseaux peer-to-peer qui se place notamment dans le dossier incoming afin d'être expédié à un maximum de personnes.
   
  -> Worm.Win32_Sumom-A.
  

 

 

Bonjour pear, ogu, gof

 

pear merci pour le lien que tu m'as donner pour alleger les sevices, depuis que j'ai configurer mes services mon pc fonctionne dèja mieux.

ogu, j'ai suivi tes conseil et desactiver AVG, pour le pare-feu windows il est desactiver, pour spywareblaster c'etait spyboat autant pour moi! En ce qui concerne shareaza je l'ai desinstaller.

gof, Vundoofix n'a rien trouver donc je n'ai aucun rapport;

Pour info j'ai remarquer que mon uc etait utiliser a 100% par svchost avant de planter mon pc et cela pas plus tard qu'il ya 10 min.

Modifié le 14 mars 2007 par rakiri rtm

[pear]

Bonjour,

 

Désactivez le service "Client Dns".

[rakiri rtm]

Bonjour,

 

Désactivez le service "Client Dns".

 

Le service DNS est deja desactiver et de plus mon pc met pres de 15 minutes pour s'arreter maitenant alors je sais vraiment pas d'ou ça peut venir!

[oGu]

As-tu essayé de "fixer" la ligne 020 restante de Vundo avec Hijackthis, puis de rebooter??

[GURU MEDITATION]

La liste des applications se chargeant au démarrage est trop chargée (lignes commenceant par 04) ...

[rakiri rtm]

La liste des applications se chargeant au démarrage est trop chargée (lignes commenceant par 04) ...

 

Bonjour GURU MEDIATION,

 

Donc est ce qu'il faut que je passe par msconfig? Si oui que dois decocher?