[vu & résolu]Un p'tit coup d'oeil sur mon rapport hijackth

[Pang]

Bien l'bonjour.

 

Sur un ordinateur (xp pro) avec plusieurs comptes utilisateurs (+le mien admin), nous remarquons des ralentissements curieux lors de l'affichage de certaines pages web. Les pages parfois ne s'affichent pas mais si je clique sur l'icone actualiser tout rentre dans l'ordre.

De plus je m'interroge sur le fait que lorsque je visite certains sites, mon pare feu me signale des networkcan (généralement en provenance d'OVH et AKAMAI).

 

Antivir, spybot et ad-aware ne signale rien du tout.

Voici le log hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 17:14:31, on 06/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE

C:\Program Files\OpenOffice.org 2.2\program\soffice.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1179064028531

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.0.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{EBE40A57-929C-4F55-BE23-036BC9A36443}: NameServer = 192.168.1.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

 

Est'il normal que l'on retrouve dans ce log une ligne concernant impots.gouv.fr ?

 

Merci.

Modifié le 20 juillet 2007 par Pang

[Gof]

Bonsoir Pang

 

Est'il normal que l'on retrouve dans ce log une ligne concernant impots.gouv.fr ?

 

Cette ligne est un activeX, il est nécessaire à l'utilisation des services et à la consultation des données sur le site des impôts. Cette ligne est saine, sans doute toi ou un autre utilisateur du pc s'est rendu sur ce lien.

 

Tu peux consulter ce lien microsoft : Comment faire pour empêcher l'exécution d'un contrôle ActiveX dans Internet Explorer

 

Ton rapport ne révèle rien d'inquiétant.

 

Sur un ordinateur (xp pro) avec plusieurs comptes utilisateurs (+le mien admin), nous remarquons des ralentissements curieux lors de l'affichage de certaines pages web. Les pages parfois ne s'affichent pas mais si je clique sur l'icone actualiser tout rentre dans l'ordre.

Cela peut provenir de différentes orginies ; un ralentissement réseau/site, un cache surchargé, etc. Tu as d'autres "disfonctionnements" ?

[Pang]

Bonjour Gof, et merci de ta réponse.

 

Cette ligne est un activeX, il est nécessaire à l'utilisation des services et à la consultation des données sur le site des impôts. Cette ligne est saine, sans doute toi ou un autre utilisateur du pc s'est rendu sur ce lien.

 

Oui j'ai déclaré mes impots en ligne avec IE (car j'ai eu du mal avec firefox).

 

Tu as d'autres "disfonctionnements" ?

 

Oui un peu mais ils ne sont "visible". Je m'explique :

Depuis que j'ai installé une ATI 1650 pro avec son logiciel et NET framework, j'ai des d'avertissements et erreurs dans le journal des évenements lié a ATI.

De plus, je n'utilise pas de logiciel de P2P et pourtant je vois aussi dans le journal des avertissements le fameux évenements 4226, TCP/IP a atteind la limite de sécurité imposé sur le nombre de tentatives TCP simultanées.

 

D'après ce que j'ai pu en déduire, ces avertissements (tcp/ip) se produisent lorsque l'enfant de la maison utilise (pendant trop longtemps à mon gout mais ceci est une autre histoire) MSN. Dailleur le 30 juin, en se connectant sur un blog d'ado, Antivir c'est déclenché et signalé un exploit.

Mais après vérification, pas d'infection.

 

J'ai remarqué aussi que ce problème d'affichage de certaines pages internet ne se produit pas à l'allumage du la machine, mais "au bout d'un certain temps" (ce PC est allumé presque 24 H).

Il y a 5 machines sur ce réseau + une autre sur un sous réseau (4 en wifi) et c'est le PC relié en ethernet directement sur la LB qui est le plus capricieux (celui sur lequel il y a tous les comptes utilisateurs), c'est balaud !!!!

[Gof]

Bonjour Pang

 

Tes "soucis" sont très précis et demandent l'avis de spécialistes. Je t'invite à t'orienter sur les sous-forums software et/ou hardware pour ta question concernant l'ATI 1650 pro, et dans le sous-forum réseaux pour ta question lié à ton réseau personnel.

 

Il y a 5 machines sur ce réseau + une autre sur un sous réseau (4 en wifi) et c'est le PC relié en ethernet directement sur la LB qui est le plus capricieux (celui sur lequel il y a tous les comptes utilisateurs),

Trop de réseaux pour moi là ^^ !

[Pang]

GOf.

 

Bon enfin déja c'est bien, pas de méchantes bestioles dans cette machine. Je devais commencer par ça afin de procéder par élimination.

Il eut été peu sérieux d'aller plus loin dans la résolution d'un problème sans passer par la case désinfection propreté

 

Merci Gof de tes réponses.

 

A +

[Gof]

Re

 

A titre de vérification, comme un log hijackthis ne révèle pas tout, je t'invite à effectuer une analyse en ligne :

• Fais un scan en ligne Kaspersky avec Internet Explorer :
  
• Clique sur
  
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  
• Patiente pendant l'installation des Mises à jour.
  
• Choisis par la suite l'analyse du Poste de travail
  
• Sauvegarde puis colle le rapport généré en fin d'analyse.
  

AIDE : Configurer le contrôle des ActiveX

 

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

Si des entrées infectieuses sont détectées, on fouillera d'avantage.

[Pang]

B'jour.

 

Gof, j'ai scanné le poste de travail sur kaspersky. Effectivement, certaines choses ont échappés à mon attention (dans les recoins du PC ou je vais pas assez souvent semble t'il !!). Quelques virus dans des archives jamais ouvertes :

 

D:\Stokage\Outils\***Sniffer 1.1.0 *** only ****.rar/crack.exe Infecté : Trojan-Downloader.Win32.Delf.agd ignoré

D:\Stokage\stockmaster\FxScanner.rar/Scanner IPC - FxScanner/cfgNT.exe Infecté : Backdoor.Win32.Fxsvc.02 ignoré

D:\Stokage\stockmaster\****ft Sniffer v3.8xp Winall Cracked-Ssg.zip/****.v3.8XP.WinALL.Cracked-SSG/sniffer_setup.exe Infecté : Trojan-Dropper.Win32.Agent.lq ignoré

 

J'ai supprimé ces archives.

 

En revanche, dans le rapport final, j'ai aussi un tas de fichiers (.log et .dat) avec comme description ceci :

 

L'objet est verrouillé --> Ignoré...

 

Bon sinon rien d'inquiétant, mais je continue à avoir un comportement "étrange" de IE ou firefox.

Parfois la page qui se charge ne s'affiche pas, je suis obligé d'appuyer sur F5 (actualiser) pour que la page s'affiche.

Je remarque aussi que la tache : exploreur.exe est capricieuse (parfois des ralentissement que je ne m'explique pas).

Je crois finalement que tout ceci n'est pas liée à une infection, mais plutot du à une mauvaise configuration de mon win32.

 

En tout cas, merci d'avoir pris le temps.

 

Amitiés.

[Gof]

Bonsoir Pang

 

Il semble que les fichiers infectieux détectés par Kaspersky (je le suppose, comme tu n'as pas mis le rapport complet) ne soient pas dans les répertoires système, c'est moins inquiétant.

 

Je remarque aussi que la tache : exploreur.exe est capricieuse (parfois des ralentissement que je ne m'explique pas).

Je crois finalement que tout ceci n'est pas liée à une infection, mais plutot du à une mauvaise configuration de mon win32.

Fort possible en effet.

 

Je ne crois pas tes soucis d'origine infectieuse, mais on peut d'avantage fouiller le pc si tu le souhaites.

[Pang]

Bonjour.

 

La seule chose que je n'ai pas encore essayé c'est la détection d'un (ou plusieurs) rootkits. Mais en général, un rootkit est.... très discret !!

Peut être que le scan en ligne KAspersky s'en charge ? Je ne sais pas.

 

Mes soucis semblent correspondrent avec l'installation d'une nouvelle carte vidéo ATI 1650 pro (et pourtant je n'aime pas vraiment ATI, surtout les drivers et son application nécéssitant la présence du netframework).

Je vais désinstaller l'application ATI (pas du tout indispensable au fonctionnement de la carte vidéo) et aussi essayer d'autres pilotes.

 

Merci Gof pour le suivi de ce post.

 

Cordialement.

[Gof]

Bonsoir Pang

 

Peut être que le scan en ligne KAspersky s'en charge ? Je ne sais pas.

 

Il peut indiquer surtout la présence de fichiers associés, eux détectés, qui pourraient indiquer une piste. Mais comme je te l'ai dit, à la vue des éléments communiqués et rapportés, je ne crois pas tout cela de source infectieuse.